Выходец из СНГ сядет в тюрьму на 15 лет за взлом школ и нефтяной компании

Безопасность Стратегия безопасности Госрегулирование Бизнес Законодательство Кадры
мобильная версия
, Текст: Роман Георгиев
Задержанный в 2015 г. гражданин Молдавии Андрей Гинкул, администратор ботнета Bugat признал в США вину в совершении ряда киберпреступлений, в частности, в попытках ограбления нефтяной компании и администрации школьного округа в США.

В преддверии приговора

Гражданин Молдавии Андрей Гинкул, арестованный властями Кипра в 2015 году и экстрадированный в США, на прошлой неделе признал вину в совершении вменяемых ему преступлениях, - в преступном сговоре и хакерских атаках, нацеленных на причинение ущерба.

Андрей Гинкул, также известный под сетевым ником Smilex, был одним из участников преступного сообщества, занимавшегося распространением вредоносного ПО Bugat (также известное как Dridex и Cridex, которое использовалось для кражи реквизитов доступа к банковским счетам и совершения мошеннических транзакций.

Среди пострадавших от трояна оказались управление школьного округа Шэрон в Пенсильвании и нефтяная компания Penneco Oil. Гинкул пытался перевести на свои счета $999 тыс. со счетов школьного округа, и более $2 млн со счетов нефтяной компании.

Первая из этих транзакций была заблокирована ещё до её совершения. Вторая была выявлена пост-фактум, но её также удалось отменить.

Гражданин Молдавии Андрей Гинкул, администратор ботнета Bugat, признался
в попытке ограбления нефтяной компании и администрации школьного округа в США

Скорее всего, Гинкул и его подельники проводили и более успешные операции: высказывались предположения, что данная группировка похитила с помощью мошенничества и вредоносного ПО не менее $3,5 млн.

Суд вынесет приговор Гинкулу в середине лета 2017 г. Максимальное наказание составит 15 лет тюрьмы, а также штраф в размере $500 тыс. и последующая депортация.

Dridex и его банда

Используемый Гинкулом Dridex представлял собой типичный банковский троян, созданный на основе исходного кода печально известного зловреда ZeuS. В большинстве случаев первичное заражение осуществляется с помощью спама и фишинговых писем с вложениями в виде документов Word или Excel.

Распространение зловреда производилось очень активно: в начале 2015 г. количество вредоносных писем достигало 100 тыс. в день. Пик активности ботнета пришёлся на 2014-2015 годы.

В рамках одной из спам-кампаний злоумышленники рассылали письма, имитировавшие медицинские извещения об обнаружении онкологических заболеваний. Эта социальная инженерия в течение некоторого времени неплохо работала.

Dridex обладал обширной инфраструктурой, но в 2015 г. эксперты Dell SecureWorks смогли перенаправить управляющие соединения ботнета к своему sinkhole-серверу, после чего ботнет был разгромлен при участии ФБР.

Правоохранители смогли захватить управляющие серверы ботнета и арестовать как минимум некоторых причастных. В общей сложности за решёткой оказались 14 человек, связанных с распространением Dridex. Одним из них стал Андрей Гинкул по кличке Smilex, которого задержали во время отдыха на Кипре.

Хотя он сопротивлялся экстрадиции, это ему не помогло: в 2015 г. его впервые привели в суд на территории США в наручниках.

После года сопротивления Гинкул согласился на сделку со следствием.

«Не исключено, что Smilex получил от следствия предложение признать вину в обмен на некоторое смягчение наказания, например, сокращение срока. Ему также могли предложить и сотрудничество со спецслужбами: США, как, впрочем, и другие страны, сейчас активно занимаются вербовкой хакеров ввиду усиливающегося противостояния в киберпространстве, - говорит Дмитрий Гвоздев, генеральный директор компании «Монитор безопасности». - С другой стороны, Smilex, он же Андрей Гинкул, вряд ли сам написал троянец, которым потом терроризировал коммерческие организации по всему миру. Скорее всего, это в первую очередь умелый мошенник и неплохой организатор, но не талантливый эксперт по информационным технологиям. А следовательно его ценность в качестве «боевой единицы» киберпространства весьма относительна».

Dridex жив

К нынешнему времени проблема Dridex полностью не исчезла. После непродолжительной паузы рассылки Dridex снова резко активизировались, хотя злоумышленники поменяли метод распространения.

Потом, во второй половине 2016 г., снова имел место спад, за которым последовала новая активизация. По всей видимости, во время паузы разработчики зловреда совершенствовали его, и небезуспешно: новая версия оказалась способной обходить механизм контроля учётных записей Windows (UAC).

По неподтверждённым данным, ущерб от серии троянцев Cridex, Dridex и Bugat может достигать десятков миллионов долларов.