Трое арестованных представляют собой лишь небольшую часть группы веб-скимминга Magecart, но расследование продолжается.
Международная организация уголовной полиции (Интерпол) объявила во вторник, что в Индонезии были арестованы три члена группы, которая заразила сотни веб-сайтов со всего мира вредоносным ПО для кражи платежных карт. Аресты стали результатом более масштабного расследования правоохранительных органов, которое продолжается в других странах региона Юго-Восточной Азии.
Трое подозреваемых в возрасте 23, 27 и 35 лет обвиняются в использовании украденных ими данных платежных карт для покупки электронных товаров и предметов роскоши, а затем их продажи с целью получения прибыли. Им грозит тюремное заключение сроком до 10 лет.
Интерпол называет вредоносное ПО, используемое группой, анализатором JavaScript, но в индустрии безопасности оно более известно как веб-скиммер. Он состоит из вредоносного фрагмента кода JavaScript, который вставляется на веб-сайт - обычно на его страницы оформления заказа - и предназначен для кражи личной и платежной информации, введенной клиентами.
Самый известный из этих веб-скиммеров называется Magecart и использовался в большом количестве атак за последние несколько лет, в том числе против очень известных брендов. Magecart используется более чем дюжиной групп хакеров, чьи кампании варьируются от простых до очень сложных и от широко распространенных до узконаправленных. В некоторых из наиболее скрытых атак код настроен для работы только с веб-сайтом жертвы.
Российская компания по кибербезопасности Group-IB, которая работала с Интерполом и индонезийской полицией над этим расследованием, отслеживает сниффер, используемый как GetBilling, но, по словам другой компании, Sanguine Security, он является частью семейства Magecart.
«Sanguine Security отслеживает деятельность этой группы в течение нескольких лет и выявила не 12, а 571 взлом, совершенный одними и теми же людьми», - говорится в сообщении компании в блоге после объявления об арестах. "Эти взломы могли быть приписаны странному сообщению, которое было оставлено во всем коде скимминга: 'Success gan!' [что] переводится как «Успех братан» на индонезийском языке и уже много лет присутствует на всей их скимминговой инфраструктуре».
Расследование операции "Ночная ярость" продолжается
Трое подозреваемых были фактически задержаны в декабре, но об их аресте поначалу не сообщалось. Это может быть связано с более масштабными усилиями правоохранительных органов, получившими название «Операция« Ночная ярость», которые проводятся в настоящее время и рассматривают возможность дополнительных атак в этом регионе».
Фактически, по данным Sanguine, с декабря наблюдаются новые атаки с тем же кодом, и в настоящее время заражены как минимум 27 интернет-магазинов. Это означает, что другие члены группы все еще могут быть на свободе.
Group-IB, отслеживающая атаки GetBilling с 2018 года, выявила почти 200 зараженных веб-сайтов в Индонезии, Австралии, Европе, США, Южной Америке и других регионах. Помимо физических товаров, группа также использовала украденные кредитные карты для оплаты услуг хостинга и новых доменов, которые они использовали в своих атаках. Часть этой инфраструктуры размещалась в Индонезии, но для взаимодействия с ней всегда использовались службы VPN.
«Согласно ежегодному отчету Group-IB об угрозах за 2019 год, количество скомпрометированных карт, загруженных на подпольные форумы, увеличилось с 27,1 миллиона до 43,8 миллиона во втором полугодии 2108-первом полугодии 2019 года по сравнению с аналогичным периодом прошлого года», - заявили в компании. «Объем рынка кардинга, в свою очередь, вырос на 33% и составил 879,7 млн долларов США. Продажи данных CVV сегодня также растут, увеличившись на 19% за соответствующий период, что является одной из основных причин этого. этой тенденцией могут стать снифферы JavaScript".
Количество атак с использованием веб-скимминга росло за последние два года, и охранные фирмы обнаруживали новые подобные взломы каждый час. Поскольку эта деятельность настолько прибыльна для киберпреступников, новые скиммеры вышли на подпольный рынок и превратились в товар, поэтому эти атаки вряд ли прекратятся в ближайшее время.
Арестованная группа небольшая часть Magecart
Для сравнения: индонезийская группа несет ответственность только за 1% всех инцидентов с Magecart, обнаруженных Sanguine с 2017 года. По оценкам компании, в веб-скимминге задействовано от 40 до 50 опытных людей.
Владельцы сайтов электронной коммерции и компании, использующие корзины покупок на своих веб-сайтах, должны регулярно сканировать свои веб-сайты на предмет заражения и обновлять программное обеспечение и плагины для управления контентом. Учетные данные администратора также должны быть надежными и хорошо защищенными. Брандмауэры веб-приложений могут использоваться для обнаружения и блокировки попыток вторжения, но существуют и другие технологии, такие как политика безопасности контента (CSP) и целостность субресурсов (SRI), которые можно использовать для ограничения загруженных скриптов и предотвращения потенциальных заражений клиентов.
Международная организация уголовной полиции (Интерпол) объявила во вторник, что в Индонезии были арестованы три члена группы, которая заразила сотни веб-сайтов со всего мира вредоносным ПО для кражи платежных карт. Аресты стали результатом более масштабного расследования правоохранительных органов, которое продолжается в других странах региона Юго-Восточной Азии.
Трое подозреваемых в возрасте 23, 27 и 35 лет обвиняются в использовании украденных ими данных платежных карт для покупки электронных товаров и предметов роскоши, а затем их продажи с целью получения прибыли. Им грозит тюремное заключение сроком до 10 лет.
Интерпол называет вредоносное ПО, используемое группой, анализатором JavaScript, но в индустрии безопасности оно более известно как веб-скиммер. Он состоит из вредоносного фрагмента кода JavaScript, который вставляется на веб-сайт - обычно на его страницы оформления заказа - и предназначен для кражи личной и платежной информации, введенной клиентами.
Самый известный из этих веб-скиммеров называется Magecart и использовался в большом количестве атак за последние несколько лет, в том числе против очень известных брендов. Magecart используется более чем дюжиной групп хакеров, чьи кампании варьируются от простых до очень сложных и от широко распространенных до узконаправленных. В некоторых из наиболее скрытых атак код настроен для работы только с веб-сайтом жертвы.
Российская компания по кибербезопасности Group-IB, которая работала с Интерполом и индонезийской полицией над этим расследованием, отслеживает сниффер, используемый как GetBilling, но, по словам другой компании, Sanguine Security, он является частью семейства Magecart.
«Sanguine Security отслеживает деятельность этой группы в течение нескольких лет и выявила не 12, а 571 взлом, совершенный одними и теми же людьми», - говорится в сообщении компании в блоге после объявления об арестах. "Эти взломы могли быть приписаны странному сообщению, которое было оставлено во всем коде скимминга: 'Success gan!' [что] переводится как «Успех братан» на индонезийском языке и уже много лет присутствует на всей их скимминговой инфраструктуре».
Расследование операции "Ночная ярость" продолжается
Трое подозреваемых были фактически задержаны в декабре, но об их аресте поначалу не сообщалось. Это может быть связано с более масштабными усилиями правоохранительных органов, получившими название «Операция« Ночная ярость», которые проводятся в настоящее время и рассматривают возможность дополнительных атак в этом регионе».
Фактически, по данным Sanguine, с декабря наблюдаются новые атаки с тем же кодом, и в настоящее время заражены как минимум 27 интернет-магазинов. Это означает, что другие члены группы все еще могут быть на свободе.
Group-IB, отслеживающая атаки GetBilling с 2018 года, выявила почти 200 зараженных веб-сайтов в Индонезии, Австралии, Европе, США, Южной Америке и других регионах. Помимо физических товаров, группа также использовала украденные кредитные карты для оплаты услуг хостинга и новых доменов, которые они использовали в своих атаках. Часть этой инфраструктуры размещалась в Индонезии, но для взаимодействия с ней всегда использовались службы VPN.
«Согласно ежегодному отчету Group-IB об угрозах за 2019 год, количество скомпрометированных карт, загруженных на подпольные форумы, увеличилось с 27,1 миллиона до 43,8 миллиона во втором полугодии 2108-первом полугодии 2019 года по сравнению с аналогичным периодом прошлого года», - заявили в компании. «Объем рынка кардинга, в свою очередь, вырос на 33% и составил 879,7 млн долларов США. Продажи данных CVV сегодня также растут, увеличившись на 19% за соответствующий период, что является одной из основных причин этого. этой тенденцией могут стать снифферы JavaScript".
Количество атак с использованием веб-скимминга росло за последние два года, и охранные фирмы обнаруживали новые подобные взломы каждый час. Поскольку эта деятельность настолько прибыльна для киберпреступников, новые скиммеры вышли на подпольный рынок и превратились в товар, поэтому эти атаки вряд ли прекратятся в ближайшее время.
Арестованная группа небольшая часть Magecart
Для сравнения: индонезийская группа несет ответственность только за 1% всех инцидентов с Magecart, обнаруженных Sanguine с 2017 года. По оценкам компании, в веб-скимминге задействовано от 40 до 50 опытных людей.
Владельцы сайтов электронной коммерции и компании, использующие корзины покупок на своих веб-сайтах, должны регулярно сканировать свои веб-сайты на предмет заражения и обновлять программное обеспечение и плагины для управления контентом. Учетные данные администратора также должны быть надежными и хорошо защищенными. Брандмауэры веб-приложений могут использоваться для обнаружения и блокировки попыток вторжения, но существуют и другие технологии, такие как политика безопасности контента (CSP) и целостность субресурсов (SRI), которые можно использовать для ограничения загруженных скриптов и предотвращения потенциальных заражений клиентов.
