- 21,779
- 46
- 8 Ноя 2022
Экстрадицию одобрили в Италии, следствие связывает его с кражами через модифицированный ZeuS и сеть дропов.
Группа Jabber Zeus получила своё имя по вредоносной программе, с которой работала. Это была модифицированная версия банковского трояна ZeuS, способная воровать учётные данные и отправлять участникам мгновенное сообщение в Jabber каждый раз, когда новая жертва вводила одноразовый код на сайте банка. Преступники нацеливались прежде всего на малый и средний бизнес и одними из первых отработали схему «man-in-the-browser», когда вредоносный код незаметно перехватывает любые данные, которые человек вводит в веб-формы.
Попав во внутренние системы компании, участники Jabber Zeus меняли зарплатные ведомости и добавляли десятки фиктивных сотрудников. Эти «дропы» набирались через продуманные схемы удалённой подработки и принимали переводы, после чего отправляли деньги дальше, в том числе адресатам в Украине и Великобритании, оставляя себе комиссию.
В обвинительном заключении 2012 года один из ключевых фигурантов проходил как John Doe №3 под ником MrICQ. По данным Минюста США, он принимал оповещения о новых взломах и помогал отмывать деньги через электронные обменники. Источники, знакомые с расследованием, сообщают об аресте Рыбцова в Италии. В апреле 2025 года Верховный суд Италии отклонил его последнюю апелляцию, и экстрадиция в США стала неизбежной. По сведениям сайта lockedup.wtf, 9 октября он прибыл в Небраску и был помещён под стражу по ордеру ФБР.
Сервис отслеживания утечек Constella Intelligence обнаружил в базе bvdinfo записи о 41-летнем Ю. Рыбцове, связанном со зданием на улице Барнаульская, 59. По этим же данным, в том же доме была зарегистрирована компания, связанная с Вячеславом Пенчуковым по прозвищу Tank, которого считают лидером Jabber Zeus. Пенчукова задержали в 2022 году во время поездки к семье в Швейцарию. В 2024 году федеральный суд в Небраске приговорил его к 18 годам лишения свободы и постановил взыскать свыше 73 миллионов долларов в счёт компенсаций.
Охотиться за группой начали задолго до арестов. Лоуренс Болдуин, основатель компании myNetWatchman в штате Джорджия, в 2009 году получил скрытый доступ к Jabber-серверу, где общались участники Jabber Zeus. Он передавал стенограммы переписок правоохранительным органам и журналистам. С 2010 по 2013 годы редакции ежедневно предупреждали небольшие компании о готовящихся попытках вывода средств. Это спасло немало денег, хотя часто предупреждения приходили слишком поздно. При этом расшифровки чатов легли в основу десятков публикаций о судебных спорах бизнеса с банками из-за потерь на суммы в шесть и семь цифр.
По словам Болдуина, Jabber Zeus опережала многих конкурентов. Команда напрямую дорабатывала ботнет вместе с автором оригинального трояна ZeuS, Евгением Михайловичем Богачевым. ФБР до сих пор предлагает вознаграждение в 3 миллиона долларов за сведения, которые приведут к его задержанию. Главной новацией Jabber Zeus стала система, которая присылала MrICQ оповещение, как только жертва вводила одноразовый код на фишинговой копии сайта банка. Внутри группы этот модуль называли Leprechaun. Вредонос переписывал HTML прямо в окне браузера, что позволяло перехватывать коды многофакторной аутентификации . Так злоумышленники быстро отбирали самые прибыльные цели, то есть коммерческие счета с включённой двухфакторной защитой.
В трояне был и собственный модуль «backconnect». Он давал возможность заходить в интернет-банк через заражённый компьютер самой жертвы и полностью имитировать её устройство. По оценке Болдуина, эта комбинация без труда обходила тогдашние стандарты защищённого онлайн-банкинга.
Расшифровки показывают, что, несмотря на прямой контакт с автором ZeuS, команда нередко не получала от него оперативной помощи. По версии следствия, реальным руководителем Jabber Zeus был Максим Якубец, известный под ником Aqua. Он ежедневно общался с MrICQ, Tank и другими участниками команды и дистанционно координировал логистику «дропов» и вывод средств. Позже Aqua возглавил элитное киберпреступное объединение из не менее чем 17 человек, которое называло себя Evil Corp . Этой группе приписывают разработку и использование трояна Dridex, известного также как Bugat, и кражу более 100 миллионов долларов у сотен компаний в США и Европе.
В 2019 году власти объявили награду в 5 миллионов долларов за информацию, которая поможет задержать Якубца. В новом шестисерийном подкасте BBC рассказывают историю становления Evil Corp. Первый выпуск посвящён эволюции ZeuS, второй — расследованию, которое вёл бывший агент ФБР Джим Крейг.
Группа Jabber Zeus получила своё имя по вредоносной программе, с которой работала. Это была модифицированная версия банковского трояна ZeuS, способная воровать учётные данные и отправлять участникам мгновенное сообщение в Jabber каждый раз, когда новая жертва вводила одноразовый код на сайте банка. Преступники нацеливались прежде всего на малый и средний бизнес и одними из первых отработали схему «man-in-the-browser», когда вредоносный код незаметно перехватывает любые данные, которые человек вводит в веб-формы.
Попав во внутренние системы компании, участники Jabber Zeus меняли зарплатные ведомости и добавляли десятки фиктивных сотрудников. Эти «дропы» набирались через продуманные схемы удалённой подработки и принимали переводы, после чего отправляли деньги дальше, в том числе адресатам в Украине и Великобритании, оставляя себе комиссию.
В обвинительном заключении 2012 года один из ключевых фигурантов проходил как John Doe №3 под ником MrICQ. По данным Минюста США, он принимал оповещения о новых взломах и помогал отмывать деньги через электронные обменники. Источники, знакомые с расследованием, сообщают об аресте Рыбцова в Италии. В апреле 2025 года Верховный суд Италии отклонил его последнюю апелляцию, и экстрадиция в США стала неизбежной. По сведениям сайта lockedup.wtf, 9 октября он прибыл в Небраску и был помещён под стражу по ордеру ФБР.
Сервис отслеживания утечек Constella Intelligence обнаружил в базе bvdinfo записи о 41-летнем Ю. Рыбцове, связанном со зданием на улице Барнаульская, 59. По этим же данным, в том же доме была зарегистрирована компания, связанная с Вячеславом Пенчуковым по прозвищу Tank, которого считают лидером Jabber Zeus. Пенчукова задержали в 2022 году во время поездки к семье в Швейцарию. В 2024 году федеральный суд в Небраске приговорил его к 18 годам лишения свободы и постановил взыскать свыше 73 миллионов долларов в счёт компенсаций.
Охотиться за группой начали задолго до арестов. Лоуренс Болдуин, основатель компании myNetWatchman в штате Джорджия, в 2009 году получил скрытый доступ к Jabber-серверу, где общались участники Jabber Zeus. Он передавал стенограммы переписок правоохранительным органам и журналистам. С 2010 по 2013 годы редакции ежедневно предупреждали небольшие компании о готовящихся попытках вывода средств. Это спасло немало денег, хотя часто предупреждения приходили слишком поздно. При этом расшифровки чатов легли в основу десятков публикаций о судебных спорах бизнеса с банками из-за потерь на суммы в шесть и семь цифр.
По словам Болдуина, Jabber Zeus опережала многих конкурентов. Команда напрямую дорабатывала ботнет вместе с автором оригинального трояна ZeuS, Евгением Михайловичем Богачевым. ФБР до сих пор предлагает вознаграждение в 3 миллиона долларов за сведения, которые приведут к его задержанию. Главной новацией Jabber Zeus стала система, которая присылала MrICQ оповещение, как только жертва вводила одноразовый код на фишинговой копии сайта банка. Внутри группы этот модуль называли Leprechaun. Вредонос переписывал HTML прямо в окне браузера, что позволяло перехватывать коды многофакторной аутентификации . Так злоумышленники быстро отбирали самые прибыльные цели, то есть коммерческие счета с включённой двухфакторной защитой.
В трояне был и собственный модуль «backconnect». Он давал возможность заходить в интернет-банк через заражённый компьютер самой жертвы и полностью имитировать её устройство. По оценке Болдуина, эта комбинация без труда обходила тогдашние стандарты защищённого онлайн-банкинга.
Расшифровки показывают, что, несмотря на прямой контакт с автором ZeuS, команда нередко не получала от него оперативной помощи. По версии следствия, реальным руководителем Jabber Zeus был Максим Якубец, известный под ником Aqua. Он ежедневно общался с MrICQ, Tank и другими участниками команды и дистанционно координировал логистику «дропов» и вывод средств. Позже Aqua возглавил элитное киберпреступное объединение из не менее чем 17 человек, которое называло себя Evil Corp . Этой группе приписывают разработку и использование трояна Dridex, известного также как Bugat, и кражу более 100 миллионов долларов у сотен компаний в США и Европе.
В 2019 году власти объявили награду в 5 миллионов долларов за информацию, которая поможет задержать Якубца. В новом шестисерийном подкасте BBC рассказывают историю становления Evil Corp. Первый выпуск посвящён эволюции ZeuS, второй — расследованию, которое вёл бывший агент ФБР Джим Крейг.
- Источник новости
- www.securitylab.ru
