По-нашему, по-бразильски

«Лаборатория Касперского» выяснила, что бразильские и российские киберпреступники активно взаимодействуют друг с другом и обмениваются методами проведения атак, тем самым стимулируя развитие вредоносных инструментов. Бразильское и русскоговорящее киберпреступные сообщества лучше других известны экспертам в области информационной безопасности благодаря их относительной открытости, активной деятельности и большому количеству нелегальных онлайн-форумов. Исторически эти два сообщества развивались независимо друг от друга. Однако в последние годы киберпреступники начали сотрудничать. На местных нелегальных форумах они находят образцы зловредов, приобретают друг у друга вредоносное ПО, например, для банкоматов и PoS-терминалов, или предлагают собственные услуги.

Следы этого двустороннего сотрудничества были обнаружены следующим образом. Выяснилось, что один из пользователей русскоязычного нелегального форума, проявивший интерес к покупке бразильских зловредов, также является завсегдатаем подобных бразильских форумов и известным распространителем программ-вымогателей в Бразилии.

Киберпреступники обмениваются и вредоносной инфраструктурой. Так, один и тот же алгоритм, который генерирует доменные имена для проведения атак, применялся сначала российскими, а затем и бразильскими злоумышленниками. Передача алгоритма на другой континент весьма усложнила процесс идентификации вредоносных командно-контрольных серверов исследователями и правоохранительными органами.

Злоумышленники заимствуют друг у друга технологии для проведения атак. Например, по крайней мере с 2011 года бразильцы активно используют для перенаправления жертв на поддельные банковские страницы устаревшую технологию автоматической настройки прокси-сервера, которая все еще поддерживается некоторыми браузерами. Меньше чем через год оказалось, что этот же метод используется для распространения зловреда Capper — троянца, нацеленного на российские банки и, скорее всего, созданного русскоговорящими авторами.

«Еще несколько лет назад банковские зловреды бразильского происхождения были очень простыми, и проблем с их обнаружением не возникало. Но со временем вирусописатели научились скрывать следы. Они усложняют вредоносное ПО, используя для этого технологии, разработанные русскоговорящими киберпреступниками, а те, в свою очередь, используют методы бразильских «коллег», — рассказывает Тьяго Маркес, антивирусный эксперт «Лаборатории Касперского». — У нас богатый опыт борьбы с русскоговорящей и латиноамериканской киберпреступностью. Мы предвидим тренды в создании зловредов задолго до того, как они приобретают широкое распространение, и используем эту информацию, чтобы предотвращать распространение региональной угрозы по всему миру, но этого недостаточно — нужно провести международное расследование. Киберпреступность не имеет границ, но и деятельность экспертов в области кибербезопасности тоже».