Як працювало транснаціональне хакерське угруповання?

Розслідування встановило, що викрита група займалася масштабними кібератаками на корпоративні мережі. Основними цілями зловмисників стали щонайменше 11 великих компаній зі Сполучених Штатів. Після проникнення у внутрішні системи вони блокували доступ до ключових даних і серверів, фактично паралізуючи роботу бізнесу, повідомляє 24 Канал з посиланням на Генерального прокурора України Руслана Кравченка.

Класична схема вимагання передбачала пропозицію відновлення доступу в обмін на викуп у криптовалюті. Такий підхід ускладнював відстеження фінансових потоків і дозволяв учасникам угрупування довгий час лишатися в тіні.

За попередніми оцінками слідства, підтверджена сума завданих збитків становить близько 1,5 мільйона доларів.

Структура угрупування була чітко організованою:

Загалом у ньому налічувалося понад 20 осіб, кожен з яких виконував конкретні функції.

Частина учасників спеціалізувалася на зламі паролів і первинному доступі до систем. Інші відповідали за написання та модифікацію шкідливого коду.

Окрему роль відігравали так звані переговорники, які контактували з постраждалими компаніями, тиснули на них і погоджували умови викупу.

Завершальним етапом була легалізація коштів – конвертація криптовалюти та виведення грошей у готівку.

Частина злочинців ховалася в Україні

Слідство також встановило, що семеро учасників цієї мережі перебували на території України. Саме тому до операції активно долучилися українські правоохоронні органи у взаємодії з партнерами зі США та Німеччини.

Під час слідчих заходів вилучено комп’ютерну техніку, мобільні телефони, чорнові записи, а також грошові кошти, які можуть бути пов’язані з незаконною діяльністю.

Наразі триває детальний аналіз усіх вилучених матеріалів. Після завершення експертиз та перевірок правоохоронні органи ухвалять рішення щодо повідомлення фігурантам про підозру.

Окремий фігурант, за даними розслідування, має прямий зв’язок із поширенням шкідливого програмного забезпечення BlackBasta. Цей епізод паралельно розслідують німецькі правоохоронці, що ще раз підкреслює міжнародний характер злочинної діяльності.

Що таке BlackBasta?

BlackBasta – це відоме хакерське угруповання та однойменна програма-вимагач, що діє за моделлю RaaS (програма як послуга). Це означає, що розробники шкідливого ПЗ надають свій софт іншим зловмисникам за відсоток від отриманого викупу.

Експерти пов'язують BlackBasta з російськими кіберзлочинцями, зокрема розглядають її як одного з наступників відомої банди Conti, яка розпалася у 2022 році, пише Cloudflare. Атаки цього угруповання відзначаються високою технічною підготовкою та поєднанням соціальної інженерії зі зламом вразливостей.

Опинившись у мережі, хакери використовують інструменти на кшталт Cobalt Strike та SystemBC для прихованого керування та переміщення між серверами компанії. Вони намагаються отримати права адміністратора, щоб вимкнути антивірусний захист (наприклад, Windows Defender).