Разработчики вредоносного ПО DanaBot заразили собственные компьютеры

В США предъявлены обвинения 16 лицам, стоящим за DanaBot – платформой вредоносного ПО как услуга, ответственной за убытки на сумму более 50 миллионов долларов по всему миру. ФБР сообщает, что более новая версия DanaBot использовалась для шпионажа, и что многие из обвиняемых раскрыли свои настоящие личности, случайно заразив свои собственные системы этим вредоносным ПО.

DanaBot, впервые обнаруженный в мае 2018 года исследователями компании Proofpoint, специализируется на краже учетных данных и банковском мошенничестве. Министерство юстиции США сегодня раскрыло уголовную жалобу и обвинительное заключение от 2022 года, в котором говорится, что ФБР выявило как минимум 40 аффилированных лиц, плативших от 3000 до 4000 долларов в месяц за доступ к платформе для кражи информации. По данным следствия, вредоносное ПО заразило более 300 000 систем по всему миру, причинив убытки на сумму более 50 миллионов долларов.

Лидерами преступной группировки DanaBot названы Александр Степанов (Aleksandr Stepanov), 39 лет, также известный как "JimmBee", и Артем Александрович Калинкин (Artem Aleksandrovich Kalinkin), 34 года, также известный как "Onix", оба из Новосибирска, Россия. Калинкин является IT-инженером российской государственной энергетической компании "Газпром". Его профиль в Facebook носит имя "Maffiozi".

По данным ФБР, существовало как минимум две основные версии DanaBot: первая продавалась с 2018 по июнь 2020 года, когда предложение вредоносного ПО прекратилось на российских киберпреступных форумах. Вторая версия DanaBot, появившаяся в январе 2021 года, предоставлялась соучастникам для использования при целевом воздействии на компьютеры военных, дипломатических и неправительственных организаций в нескольких странах, включая США, Беларусь, Великобританию, Германию и Россию.

В 2022 году ФБР изъяло серверы, используемые авторами DanaBot для управления своим вредоносным ПО, а также серверы, на которых хранились украденные данные жертв. Данные с сервероров также показали многочисленные случаи заражения обвиняемых DanaBot их собственными компьютерами, в результате чего их учетные данные были загружены в репозитории украденных данных, изъятые федеральными агентаи.

В уголовной жалобе говорится, что в некоторых случаях самозаражение, по-видимому, осуществлялось намерено для тестирования, анализа или улучшения вредоносного ПО. В других случаях заражение произошло случайно – одной из опасностей киберпреступности является то, что преступники иногда заражают себя собственным вредоносным ПО по ошибке.

В заявлении Министерства юстиции говорится, что в рамках сегодняшней операции агенты Службы криминальных расследований Министерства обороны (DCI) изъяли серверы управления DanaBot, включая десятки виртуальных серверов, размещенных в США. Правительство в настоящее время работает с партнерами из отрасли для уведомления жертв DanaBot и оказания помощи в устранении последствий заражения. В заявлении отмечается вклад ряда компаний в области безопасности, оказавших помощь правительству, включая ESET, Flashpoint, Google, Intel 471, Lumen, PayPal, Proofpoint, Team CYRMU и ZScaler.