Бесплатно Экспресс-аудит сайта:

25.11.2022

Group-IB: русскоязычные операторы атакуют иностранных пользователей Steam, Roblox, Amazon и PayPal

Компания Group-IB обнаружила 34 киберпреступные группы, которые распространяют вредоносные программы — стилеры. Русскоговорящие злоумышленники использовали их для кражи паролей игровых аккаунтов в Steam и Roblox,” учеток” от торговой площадки Amazon и платежной системы PayPal, а также данных банковских карт и криптокошельков.

Атакуют кибергруппы преимущественно иностранных пользователей из США, Бразилии и Индии. Общей чертой групп является координация через телеграм-ботов на русском языке.

По данным Group-IB, первые массовые группы и боты в Telegram, созданные для распространения стилеров, начали появляться в начале 2021 года. В 2021-2022 годах эксперты компании выявили в Telegram 34 действующие русскоязычные группы. Десять из них наиболее крупные — на каждую из них приходилось более 30 000 «отстуков», то есть сообщений от стилера, которые получает оператор с зараженной машины. В среднем в каждой группе состоит около 200 участников.

Ссылку на скачивание стилеров злоумышленники чаще всего “зашивают” в видеообзоры популярных игр на YouTube, “софт” для майнига или NTF-файлы на специализированных форумах, розыгрыши и лотереи в соцсетях. По оценкам Group-IB, за 10 месяцев 2021 (с момента начала исследования 1 марта по 31 декабря) года пользователи более 538 000 раз скачали стилеры на свои компьютеры. В этом году ситуация ухудшилась. За первые 7 месяцев 2022 года (с 1 января до 1 августа) пользователи загрузили вирусные файлы более 890 000 раз.

Наиболее популярным стилером у изученных групп является RedLine — его использовали 23 из 34 команды. На втором месте Racoon — он стоит на вооружении в 8 командах. В 3 сообществах использовались самописные стилеры. Обычно администраторы предоставляли воркерам и Redline и Racoon бесплатно в обмен на долю похищенных данных или денежное вознаграждение, хотя на черном рынке аренда стилеров Redline и Racoon обходится в $150-200 в месяц. В отдельных группах используется сразу по 3 стилера, а в некоторых — только один.

В 2021 году cреди наиболее часто атакуемых сервисов фигурировали PayPal — более 25% и Amazon — более 18%. В 2022 году всё также лидируют PayPal (более 16%) и Amazon (более 13%). Однако за год почти в 5 раз увеличились случаи получения в логах паролей от игровых сервисов (Steam, EpicGames, Roblox).

За 10 месяцев 2021 года злоумышленники из изученных групп получили 538 982 логов, 27 875 879 паролей, 1 215 532 572 куки-файла, данные от 56 779 карты, данные от 35 791 криптокошельков. За первые 7 месяцев 2022 года ими было украдено уже 896 148 логов, 50 352 518 паролей, 2 117 626 523 куки-файла, данные от 103 150 карты, данные от 113 204 криптокошельков. Реализовав на теневом рынке только логи и данные карт, злоумышленники, по оценкам экспертов компании, могли заработать около 350 млн рублей или $5,8 млн.