Corkow: различия между версиями
| [непроверенная версия] | [отпатрулированная версия] |
м Bot: HTTP→HTTPS (v465) |
Drakosh (обсуждение | вклад) |
||
| Строка 18: | Строка 18: | ||
В феврале 2016 года Group-IB сообщила<ref name=autogenerated2 />, что в феврале 2015 года произошел первый в мировой практике крупный инцидент, когда киберпреступники, используя троян Corkow (Metel), получили контроль над терминалом торговой системы для торгов на различных биржевых рынках, что привело к выставлению заявок на сумму более 400 млн долларов<ref name=autogenerated1 /><ref>{{Cite web|accessdate = 2016-02-08|title = Скачки курса рубля в феврале действительно были делом рук хакеров|url = http://www.vedomosti.ru/finance/articles/2015/04/23/skachki-kursa-rublya-v-fevrale-deistvitelno-bili-delom-ruk-hakerov|publisher = www.vedomosti.ru}}</ref>. Как говорится в отчете [[Group-IB]], используя вредоносное программное обеспечение, хакер применил инструмент «доллар/рубль расчетами сегодня» для продажи и покупки валюты от имени банка, что вызвало серьезные скачки курса доллара<ref>{{Cite web|accessdate = 2016-02-08|author = Quote.ru|title = Group-IB подтвердила участие хакеров в "валютном" деле Энергобанка|url = http://voozl.com/material/group-ib-uchastie-hakerov-v-dele|publisher = voozl.com}}</ref>. За 14 минут хакер добился аномальной волатильности, что позволило покупать доллар за 55 рублей, а продавать по 62 рубля. До инцидента трейдеры торговались в рыночном диапазоне 60 — 62 рубля за доллар. По данным [[Лаборатория Касперского|Лаборатории Касперского]], злоумышленники также смогли совершить многомиллионное изъятие из банкоматов банка-жертвы всего за одну ночь, используя функцию отмены банковских транзакций. Благодаря ей, после каждого снятия баланс карточного счета не уменьшался<ref>{{Cite web|url=https://securelist.com/blog/research/73638/apt-style-bank-robberies-increase-with-metel-gcman-and-carbanak-2-0-attacks/|title=APT-style bank robberies increase with Metel, GCMAN and Carbanak 2.0 attacks - Securelist|publisher=securelist.com|accessdate=2017-01-16}}</ref>. |
В феврале 2016 года Group-IB сообщила<ref name=autogenerated2 />, что в феврале 2015 года произошел первый в мировой практике крупный инцидент, когда киберпреступники, используя троян Corkow (Metel), получили контроль над терминалом торговой системы для торгов на различных биржевых рынках, что привело к выставлению заявок на сумму более 400 млн долларов<ref name=autogenerated1 /><ref>{{Cite web|accessdate = 2016-02-08|title = Скачки курса рубля в феврале действительно были делом рук хакеров|url = http://www.vedomosti.ru/finance/articles/2015/04/23/skachki-kursa-rublya-v-fevrale-deistvitelno-bili-delom-ruk-hakerov|publisher = www.vedomosti.ru}}</ref>. Как говорится в отчете [[Group-IB]], используя вредоносное программное обеспечение, хакер применил инструмент «доллар/рубль расчетами сегодня» для продажи и покупки валюты от имени банка, что вызвало серьезные скачки курса доллара<ref>{{Cite web|accessdate = 2016-02-08|author = Quote.ru|title = Group-IB подтвердила участие хакеров в "валютном" деле Энергобанка|url = http://voozl.com/material/group-ib-uchastie-hakerov-v-dele|publisher = voozl.com}}</ref>. За 14 минут хакер добился аномальной волатильности, что позволило покупать доллар за 55 рублей, а продавать по 62 рубля. До инцидента трейдеры торговались в рыночном диапазоне 60 — 62 рубля за доллар. По данным [[Лаборатория Касперского|Лаборатории Касперского]], злоумышленники также смогли совершить многомиллионное изъятие из банкоматов банка-жертвы всего за одну ночь, используя функцию отмены банковских транзакций. Благодаря ей, после каждого снятия баланс карточного счета не уменьшался<ref>{{Cite web|url=https://securelist.com/blog/research/73638/apt-style-bank-robberies-increase-with-metel-gcman-and-carbanak-2-0-attacks/|title=APT-style bank robberies increase with Metel, GCMAN and Carbanak 2.0 attacks - Securelist|publisher=securelist.com|accessdate=2017-01-16}}</ref>. |
||
== |
== Функциональность трояна == |
||
Функциональность модулей Corkow (Metel)<ref>{{Cite web|accessdate = 2016-02-08|title = Анализ банковского трояна Win32/Corkow|url = http://habrahabr.ru/company/eset/blog/214197/|publisher = habrahabr.ru}}</ref>: |
Функциональность модулей Corkow (Metel)<ref>{{Cite web|accessdate = 2016-02-08|title = Анализ банковского трояна Win32/Corkow|url = http://habrahabr.ru/company/eset/blog/214197/|publisher = habrahabr.ru}}</ref>: |
||
Версия от 14:24, 24 декабря 2017
Corkow (от англ. corkow — затаивать, прятать, второе название Metel) — анонимная киберпреступная группа (хакерская группировка), активная с 2011 года. Прославилась созданием одноименного банковского трояна Win32/Corkow, который используется злоумышленниками для кражи данных онлайн-банкинга. В отличие от Carberp, который получил мировую известность, Corkow (Metel) не удостоился такого же внимания со стороны исследователей или общественности и был достаточно незаметен все это время. Ситуация изменилась в 2014 году, когда совокупный баланс скомпрометированных трояном Corkow (Metel) счетов клиентов превысил $ 250 млн. По состоянию на начало 2015 года, по данным Group-IB[1] объём ущерба значительно вырос[2][3].
Деятельность
2011 год
Первое упоминание трояна Corkow (Metel).
2012 год
Системы телеметрии фиксировала резкие спады и подъёмы в активности этой вредоносной программы с начала её первого обнаружения. Так во второй половине 2012 г. наблюдался спад её активности, после чего активность снова возросла. Возможно группа, распространявшая Corkow (Metel), была привлечена к уголовной ответственности и не могла осуществлять свою деятельность в этот период[4].
2013 год
Впервые панель управления, используемая Corkow (Metel), была обнаружена и проанализирована[5].
2014 год
Начиная с апреля 2014 года, бот-сеть на основе Corkow (Metel) стремительно растет. Работа этой бот-сети направлена на кражу денег из системы онлайн-банкинга и платежных систем. По состоянию на ноябрь 2014 года преступники заразили более 250 тысяч компьютеров, использующих Windows. 70 % зараженных компьютеров находятся в России, 15 % — на Украине. В целом, эта бот-сеть объединяет компьютеры из 86 стран. В течение 2 месяцев 2014 киберпреступники получили доступ к внутренним сетям 34 российских банков. По состоянию на ноябрь 2014 совокупный баланс скомпрометированных счетов клиентов превышал $ 250 млн[6].
2015 год
В феврале 2016 года Group-IB сообщила[2], что в феврале 2015 года произошел первый в мировой практике крупный инцидент, когда киберпреступники, используя троян Corkow (Metel), получили контроль над терминалом торговой системы для торгов на различных биржевых рынках, что привело к выставлению заявок на сумму более 400 млн долларов[3][7]. Как говорится в отчете Group-IB, используя вредоносное программное обеспечение, хакер применил инструмент «доллар/рубль расчетами сегодня» для продажи и покупки валюты от имени банка, что вызвало серьезные скачки курса доллара[8]. За 14 минут хакер добился аномальной волатильности, что позволило покупать доллар за 55 рублей, а продавать по 62 рубля. До инцидента трейдеры торговались в рыночном диапазоне 60 — 62 рубля за доллар. По данным Лаборатории Касперского, злоумышленники также смогли совершить многомиллионное изъятие из банкоматов банка-жертвы всего за одну ночь, используя функцию отмены банковских транзакций. Благодаря ей, после каждого снятия баланс карточного счета не уменьшался[9].
Функциональность трояна
Функциональность модулей Corkow (Metel)[10]:
Пропускает антивирусные решения, остается незамеченным при исполнении;
Похищает ключи и пароли системы онлайн-банкинга на основе iBank2, IFOBS и SBRF;
Похищает все онлайн-формы (в том числе формы авторизации) с помощью FG и модулей Pony;
Мониторит весь текст, набранный при помощи клавиатуры;
Шпионит за пользователяем; делает скриншоты и записывает видео;
Устанавливает скрытый удаленный доступ к зараженному компьютеру;
Может заменять отображаемое на веб-страницах.
Это позволяет киберпреступникам организовать целевые атаки и шпионить за деятельностью предприятий из их собственных внутренних сетей. Их главная цель состоит в том, чтобы украсть деньги клиентов финансовых учреждений, в первую очередь средства юридических лиц[11].
Ссылки
Group-IB рассказала об уникальном случае атаки на валютного брокера с помощью трояна Corkow (Metel)
Russian Hackers Moved Currency Rate With Malware, Group-IB Says
Энергобанк мог потерять свои деньги из-за кибератаки Кражи на экспорт
Group-IB подтвердила участие хакеров в «валютном» деле Энергобанка
Примечания
- ↑ Отчет Group-IB.
- ↑ 1 2 Group-IB рассказала об уникальном случае атаки на валютного брокера с помощью трояна Corkow (Metel). www.group-ib.ru. Дата обращения: 8 февраля 2016.
- ↑ 1 2 Jake Rudnitsky Rudnit Ilya Khrennikov. Russian Hackers Moved Currency Rate With Malware, Group-IB Says. Bloomberg.com. Дата обращения: 8 февраля 2016.
- ↑ Банковский троян Win32/Corkow атакует российских пользователей. habrahabr.ru. Дата обращения: 8 февраля 2016.
- ↑ Graham Cluley posted 11 Feb 2014- 09:20AM. Corkow - the Bitcoin-curious Russian banking trojan. We Live Security. Дата обращения: 8 февраля 2016.
- ↑ Кражи на экспорт. Банки.ру. Дата обращения: 8 февраля 2016.
- ↑ Скачки курса рубля в феврале действительно были делом рук хакеров. www.vedomosti.ru. Дата обращения: 8 февраля 2016.
- ↑ Quote.ru. Group-IB подтвердила участие хакеров в "валютном" деле Энергобанка. voozl.com. Дата обращения: 8 февраля 2016.
- ↑ APT-style bank robberies increase with Metel, GCMAN and Carbanak 2.0 attacks - Securelist. securelist.com. Дата обращения: 16 января 2017.
- ↑ Анализ банковского трояна Win32/Corkow. habrahabr.ru. Дата обращения: 8 февраля 2016.
- ↑ Helpful Tips on Removing Corkow Trojan Virus | DooHelp.com. blog.doohelp.com. Дата обращения: 8 февраля 2016.