Киберполиция вышла на след создателей ПО для взлома банкоматов

Владимир Кондрашов
Киберполиция вышла на след создателей ПО для взлома банкоматов

Сотрудники Департамента киберполиции Национальной полиции Украины выявили группу лиц, специализирующуюся на создании вредоносного программного обеспечения, его распространении за денежные средства, несанкционированном вмешательстве в работу ЭВМ и автоматизированных систем финансовых организаций.

Об этом говорится в определении Сосновского районного суда Черкасс, передает InternetUA.

Полицейские установили, что участники преступной группы в период с июня по август 2018 года на территории города Черкассы снимали жилье, где организовали схему создания и сбыта вредоносных программ. В данный период злоумышленники, благодаря сотрудничеству с одним из бывших работников банковского учреждения, разработали основные составляющие части вредоносного программного обеспечения.

Вредоносное ПО, в создании и продаже которого и подозревают группу, состоит из трех исполняющих файлов: программы для сканирования кассет банкомата, программы выдачи денежных средств и программы генерации кодов для работы программы. Первые два файла (cm17F.exe, Stimulator22.exe) продавцы ПО пересылают до оплаты, а программу генерации кодов - после оплаты за «товар».

– По результатам изучения двух указанных файлов (cm17F.exe, Stimulator22.exe) установлено, что исследуемые файлы зашифрованы утилитой «VMProtect». В ходе анализа выявлено, что файл с названием «Stimulator22.exe» является генератором кода доступа. Файл «cm17F.exe» содержит логику и команды для работы с кассовым модулем банкоматов Wincor Nixdorf, – говорится в материалах дела. – Установлено, что логика работы программы «cm17F.exe» предназначена для несанкционированной выдачи наличных из банкомата, а поэтому оно может считаться вредоносным программным обеспечением.

2faila.jpg (189 KB)

По данным следствия, основной организатор группы познакомился с пользователем мессенджера Telegram, который предлагал к продаже вредоносное программное обеспечение, предназначенное для несанкционированного вмешательства в работу банковских автоматов самообслуживания и завладения денежными средствами с банкомата. В ходе связи с последним установлено, что денежные средства за продажу вредоносного ПО необходимо присылать на электронный кошелек WebMoney, выданный уроженцу Запорожской области.

Правоохранители установили не только адрес проживания продавца, IP-адрес и профили в социальных сетях, но и то, что помощь в шифровании файлов ему предоставляет пользователь различных хакерских форумов - «раздает данные из стиллера, продает данные аккаунтов граждан и тому подобное».  

Помощницу продавца, адрес проживания и её номер мобильного следствие также установило. Кроме того, полицейские установили ещё одного предполагаемого участника преступной группы, жителя Запорожской области. Вышли киберкопы и на человека, который выполняет роль криптовальщика, что позволяет вредоносному программному средству не быть обнаруженным антивирусным программным обеспечением.

Уголовное дело по признакам уголовного преступления, предусмотренного ч. 2 ст. 361 УК Украины, было открыто 31 января. Участникам группы грозит до шести лет лишения свободы.

6let.jpg (108 KB)

Следствие продолжается.