Кардеры похитили данные 20 млн банковских карт и заработали более $400 млн

Эксперты двух ведущих компаний в аудите и проверки безопасности iSight Partner и FireEye, провели исследование и опубликовали отчет, относительно неправомерных действий хакерской группировки Fin6. С конца прошлого эта группировка злоумышленников занимается кражей финансовых данных. В основном под угрозу попадают данные банковских карт, которые хакеры получается в результате взломов магазинов розничной торговли, а также медицинских учреждений. По заявлениям экспертов, им удалось раскрыть один из наиболее резонансных случаев, в котором Fin6 смогли похитить информацию о более чем 20 миллионах банковских карт. По предварительным подсчетам, такая атака помогла заработать мошенникам порядка 400 миллионов долларов.

Несмотря на обнаружение и раскрытие такой большой кражи личных данных, аналитики не смогли точно сказать, каким образом происходят атаки. Есть несколько версий относительной этой ситуации: Fin6 или самостоятельно проводят фишинговые атаки для получения банковских данных или просто покупают эту информацию у других групп. Среди вирусов использующихся для доступа к необходимой информации, хакеры использовали Grabnew(другие названия Vawtrack/Neverquest). Это свое рода backdoor, ворующий данные во время заполнения платежных данных при осуществлении покупки, после чего все данные перенаправляются непосредственно на сервера мошенников.

Для обеспечения большей устойчивости к антивирусам и системам защиты, Fin6 использовали модуль Metasploit PowerShell. И еще несколько вредоносов помогающих в этом Shipbread и Hardtack.

Кардерам удается получить все необходимые данные за счет повышения привилегий на использование данных системы и сделать копию базы данных, что дает возможность заполучить пароли хешей необходимых для взлома, который может проходить в оффлайне на серверах хакеров.

Основным вредоносом для обхода защиты и получения необходимых данных, стал Trinity напрямую занимающийся сбором всех необходимых данных с PoS аппаратов. Все данные собираются, архивируются в zip файлы и отправляются непосредственно на сервера и хостинги хакеров из Fin6. Самое массовое единоразовое заражение, насчитывает 2000 аппаратов.

Чтобы не попасться на использовании данных с банковских карт, Fin6 просто их перепродают в даркнете. Средняя стоимость одной карты, около 21 доллара.

По материалам xakep.ru