UltraRank активна в течение 5 лет: за это время она атаковала около 700 онлайн-магазинов
UltraRank активна в течение 5 лет: за это время она атаковала около 700 онлайн-магазинов в Европе, Азии, Северной и Латинской Америке, используя JavaScript-снифферы. Украденые данные хакеры продавали в собственном кардшопе, зарабатывая до 500 тыс. рублей ($7 000) в день. Исследование Group-IB описывает не только одного из наиболее успешных игроков рынка кражи и сбыта данных банковских карт, но и прослеживает трансформацию JS-снифферов из второстепенной в сложную угрозу, за которой стоит четко сегментированный киберпреступный бизнес. Окончательно вытеснив банковские трояны, группы, использующие JS-снифферы, с конца 2019 года стали основными поставщиками баз текстовых данных банковских карт для продаж на специализированных хакерских форумах – кардшопах.
Каждое семейство JS-снифферов – это совокупность семплов с незначительными отличиями в коде, которые внедряются злоумышленниками на сайт для перехвата вводимых пользователем данных — номеров банковских карт, имен, адресов, логинов, паролей и др. Операторы JS-снифферов выбирают сайты, построенные на определенных системах управления (CMS, Content Management System), как правило, редко обновляемых, не содержащих системы защиты 3DSecure. Украденные данные отправляются на сервер злоумышленников — гейт. Затем они продаются в даркнете на кардерских форумах, основную массу которых составляют русскоязычные киберпреступники. Если на стороне банка-эмитента, выпустившего украденную JS-сниффером карту, отсутствуют системы поведенческого анализа, позволяющие отличить действия реального пользователя от злоумышленника, денежные средства с проданных карт обналичиваются киберпреступниками за счет покупки и дальнейшей перепродажи различных товаров.
В состав UltraRank входят русскоязычные хакеры. Группа оперирует тремя семействами JS-снифферов, получившими названия FakeLogistics, WebRank и SnifLitе и используемыми для заражения различных онлайн-магазинов, где используется оплата банковской картой. За период своей активности UltraRank выстроила автономную бизнес-модель со своей технической и организационной структурой, а также собственной системой сбыта и монетизации украденной платежной информации Так, у группы есть собственный кардшоп ValidCC, согласно внутренней статистике которого, в 2019 году его владельцы зарабатывали по $5 000 – $7000 в день на продаже данных банковских карт, которые группа воровала сама, и еще $25 000 – 30 000 они выплачивали другим поставщикам украденных платежных данных, выставлявших товар в их кардшопе.
По данным Group-IB, с 2015 года UltraRank заразила 691 веб-сайт преимущественно в Европе, Азии и Америке. Но атакующие выбирали для себя и более крупные цели, под которые планировались значительно более сложные атаки через поставщика (supply chain). Так, их жертвами стали 13 поставщиков услуг для онлайн-торговли, к которым относятся различные рекламные сервисы и сервисы браузерных уведомлений, агентства веб-дизайна, маркетинговые агентства, разработчики сайтов и др. Внедряя вредоносный код в их скрипты, злоумышленники перехватывали данные банковских карт покупателей на сайтах всех магазинов, на которых используются продукты или технологии этих поставщиков. Их заражение могло принести злоумышленникам суммарно более 100 тыс. инфицированных сайтов.
Никаких овечек — только отборные научные факты