Русскоязычные хакеры атакуют интернет-магазины по всему миру

UltraRank активна в течение 5 лет: за это время она атаковала около 700 онлайн-магазинов в Европе, Азии, Северной и Латинской Америке, используя JavaScript-снифферы. Украденые данные хакеры продавали в собственном кардшопе, зарабатывая до 500 тыс. рублей ($7 000) в день. Исследование Group-IB описывает не только одного из наиболее успешных игроков рынка кражи и сбыта данных банковских карт, но и прослеживает трансформацию JS-снифферов из второстепенной в сложную угрозу, за которой стоит четко сегментированный киберпреступный бизнес. Окончательно вытеснив банковские трояны, группы, использующие JS-снифферы, с конца 2019 года стали основными поставщиками баз текстовых данных банковских карт для продаж на специализированных хакерских форумах – кардшопах.

Каждое семейство JS-снифферов – это совокупность семплов с незначительными отличиями в коде, которые внедряются злоумышленниками на сайт для перехвата вводимых пользователем данных — номеров банковских карт, имен, адресов, логинов, паролей и др. Операторы JS-снифферов выбирают сайты, построенные на определенных системах управления (CMS, Content Management System), как правило, редко обновляемых, не содержащих системы защиты 3DSecure. Украденные данные отправляются на сервер злоумышленников — гейт. Затем они продаются в даркнете на кардерских форумах, основную массу которых составляют русскоязычные киберпреступники. Если на стороне банка-эмитента, выпустившего украденную JS-сниффером карту, отсутствуют системы поведенческого анализа, позволяющие отличить действия реального пользователя от злоумышленника, денежные средства с проданных карт обналичиваются киберпреступниками за счет покупки и дальнейшей перепродажи различных товаров.

В состав UltraRank входят русскоязычные хакеры. Группа оперирует тремя семействами JS-снифферов, получившими названия FakeLogistics, WebRank и SnifLitе и используемыми для заражения различных онлайн-магазинов, где используется оплата банковской картой. За период своей активности UltraRank выстроила автономную бизнес-модель со своей технической и организационной структурой, а также собственной системой сбыта и монетизации украденной платежной информации Так, у группы есть собственный кардшоп ValidCC, согласно внутренней статистике которого, в 2019 году его владельцы зарабатывали по $5 000 – $7000 в день на продаже данных банковских карт, которые группа воровала сама, и еще $25 000 – 30 000 они выплачивали другим поставщикам украденных платежных данных, выставлявших товар в их кардшопе.

По данным Group-IB, с 2015 года UltraRank заразила 691 веб-сайт преимущественно в Европе, Азии и Америке. Но атакующие выбирали для себя и более крупные цели, под которые планировались значительно более сложные атаки через поставщика (supply chain). Так, их жертвами стали 13 поставщиков услуг для онлайн-торговли, к которым относятся различные рекламные сервисы и сервисы браузерных уведомлений, агентства веб-дизайна, маркетинговые агентства, разработчики сайтов и др. Внедряя вредоносный код в их скрипты, злоумышленники перехватывали данные банковских карт покупателей на сайтах всех магазинов, на которых используются продукты или технологии этих поставщиков. Их заражение могло принести злоумышленникам суммарно более 100 тыс. инфицированных сайтов.