Николаевский хакер заразил вирусом-майнером 1 млн серверов и «накрутил» $2 млн крипты. Поймать его помог Европол

Давно не было интересных новостей на тему скрытого майнинга криптовалют, и вот на днях киберполиция Украины совместно с Европолом учреждение правопорядка ЕС по противодействию международной организованной преступности задержала 29-летнего хакера из Николаева, которого считают причастным к масштабной схеме на минимум $2 млн.

В Европоле сообщили , что впервые узнали об атаке в январе 2023 года от поставщика облачных услуг (которого именно не сообщается), который расследовал скомпрометированные облачные аккаунты на собственной платформе. После этого европейские правоохранители, украинская полиция и облачный провайдер объединились для отслеживания и идентификации хакера. Так, на территории Нидерландов Европол создал специальную рабочую группу и VCP (Виртуальный командный пункт) для безотлагательного анализа информации, полученной в ходе следственных действий на территории Украины.

Спецоперация по задержанию состоялась 9 января — при силовой поддержке спецподразделения ТОР правоохранители провели санкционированные обыски в помещениях фигуранта на территории Николаева, изъяв компьютерную технику, SIM-карты, банковские карты и другие электронные устройства как доказательства противоправной деятельности.

По данным Нацполиции, начиная с 2021 года злоумышленник заражал серверы известной американской компании в сфере электронной коммерции (ее имя не упоминают). Сначала хакер «сломал» 1500 аккаунтов дочерней компании с помощью собственноручно разработанного ПО автоматического подбора паролей (так называемый «брутфорс»). Затем, используя данные скомпрометированных аккаунтов, хакер получил доступ к управлению сервисом и тайно инфицировал серверное оборудование вирусом-майнером для добычи криптовалюты, привлекая более миллиона виртуальных компьютеров для незаконного криптомайнинга.

За более чем два года он вывел почти $2 млн в криптовалюте (в эквиваленте более 75 миллионов гривен) на подконтрольные электронные кошельки TON (Telegram). Также Европол помог в блокировании электронных кошельков фигуранта с имеющимися на них активами.

По факту действий злоумышленника возбуждено уголовное производство по ч. 5 ст. 361 Уголовного кодекса Несанкционированное вмешательство в работу информационных (автоматизированных), электронных коммуникационных, информационно-коммуникационных систем, электронных коммуникационных сетей) Уголовного кодекса Украины. За них хакер может получить до 15 лет за решеткой заключения с лишением права занимать определенные должности или заниматься определенной деятельностью. Продолжаются следственные действия с целью установления возможных сообщников фигуранта и его причастности к пророссийским хакерским группировкам, поэтому возможна дополнительная квалификация преступления.

***

Скрытый майнинг криптовалют – совсем не новая схема. Специалисты Sysdig в отчете за 2022 год оценивают ущерб от криптоджекинга примерно в $53 на каждый $1 стоимости Monero (XMR), который киберпреступники добывают на зараженных устройствах.

Среди наиболее действенных методов защиты от атак криптоджекинга — мониторинг необычной активности (например, неожиданный рост использования ресурсов), внедрение систем защиты конечных точек, а также ограничение административных привилегий и доступ к критически важным ресурсам вместе с регулярным обновлением систем безопасности, поскольку криптопреступления часто используют документированные недостатки облачных платформ для начальной компрометации. Наконец все административные аккаунты должны поддерживать 2FA на случай похищения их учетных данных.