Group-IB обнаружила новую группу UltraRank, занимающуюся хищением данных банковских карт

Сегодня Group-IB представила отчет «UltraRank: незамеченная эволюция угрозы JS-снифферов», посвященный хакерской группе UltraRank, занимающейся кражей данных банковских карт пользователей, совершающих покупки в онлайне. UltraRank активна в течение 5 лет: за это время она атаковала около 700 онлайн-магазинов в Европе, Азии, Северной и Латинской Америке, используя JavaScript-снифферы. Украденные данные хакеры продавали в собственном кардшопе, зарабатывая до 500 тыс. рублей ($7 000) в день.

Исследование Group-IB описывает не только одного из наиболее успешных игроков рынка кражи и сбыта данных банковских карт, но и прослеживает трансформацию JS-снифферов из второстепенной в сложную угрозу, за которой стоит четко сегментированный киберпреступный бизнес. Окончательно вытеснив банковские трояны, группы, использующие JS-снифферы, с конца 2019 года стали основными поставщиками баз текстовых данных банковских карт для продаж на специализированных хакерских форумах — кардшопах.

Сегодня JS-снифферы являются одной из наиболее динамично развивающихся угроз для рынка электронной коммерции в разных странах мира. За неполные полтора года с момента выхода первого исследования Group-IB, посвященного JS-снифферам, количество обнаруженных экспертами Group-IB уникальных семейств такого вредоносного кода выросло более чем в два раза: сегодня их уже 96.

Каждое семейство JS-снифферов — это совокупность семплов с незначительными отличиями в коде, которые внедряются злоумышленниками на сайт для перехвата вводимых пользователем данных — номеров банковских карт, имен, адресов, логинов, паролей и др. Операторы JS-снифферов выбирают сайты, построенные на определенных системах управления (CMS, Content Management System), как правило, редко обновляемых, не содержащих системы защиты 3DSecure. Украденные данные отправляются на сервер злоумышленников — гейт. Затем они продаются в даркнете на кардерских форумах, основную массу которых составляют русскоязычные киберпреступники. Если на стороне банка-эмитента, выпустившего украденную JS-сниффером карту, отсутствуют системы поведенческого анализа, позволяющие отличить действия реального пользователя от злоумышленника, денежные средства с проданных карт обналичиваются киберпреступниками за счет покупки и дальнейшей перепродажи различных товаров.

В состав UltraRank входят русскоязычные хакеры. Группа оперирует тремя семействами JS-снифферов, получившими названия FakeLogistics, WebRank и SnifLitе и используемыми для заражения различных онлайн-магазинов, где используется оплата банковской картой. За период своей активности UltraRank выстроила автономную бизнес-модель со своей технической и организационной структурой, а также собственной системой сбыта и монетизации украденной платежной информации Так, у группы есть собственный кардшоп ValidCC, согласно внутренней статистике которого, в 2019 году его владельцы зарабатывали по $5 000 — $7000 в день на продаже данных банковских карт, которые группа воровала сама, и еще $25 000 — 30 000 они выплачивали другим поставщикам украденных платежных данных, выставлявших товар в их кардшопе.

По данным Group-IB, с 2015 года UltraRank заразила 691 веб-сайт преимущественно в Европе, Азии и Америке. Но атакующие выбирали для себя и более крупные цели, под которые планировались значительно более сложные атаки через поставщика (supply chain). Так, их жертвами стали 13 поставщиков услуг для онлайн-торговли, к которым относятся различные рекламные сервисы и сервисы браузерных уведомлений, агентства веб-дизайна, маркетинговые агентства, разработчики сайтов и др. Внедряя вредоносный код в их скрипты, злоумышленники перехватывали данные банковских карт покупателей на сайтах всех магазинов, на которых используются продукты или технологии этих поставщиков. Их заражение могло принести злоумышленникам суммарно более 100 тыс. инфицированных сайтов.

В феврале 2020 года специалисты Group-IB Threat Intelligence обнаружили, что пять сайтов, созданных американским маркетинговым агентством The Brandit Agency для своих корпоративных клиентов, заражены JS-снифферами. Group-IB незамедлительно попытались связаться с агентством, однако реакции не последовало: позже вредоносный код был удален с сайтов. Исследование этой атаки позволило команде Threat Intelligence обнаружить инфраструктуру злоумышленников и связать ее с другими, более ранними инцидентами, в которых также использовались JS-снифферы, и восстановить полную хронологию атак.

За пять лет UltraRank неоднократно меняла инфраструктуру и модифицировала вредоносный код в своем арсенале, в результате чего ресерчеры других компаний долгое время ошибочно атрибутировали ее атаки разным злоумышленникам. Свои позиции UltraRank укрепляла за счет активной борьбы с конкурентами. Она взламывала уже скомпрометированные сайты и к уже внедренному коду конкурирующей преступной группы добавляла свой JS-сниффер: таким образом украденные данные банковских карт «отправлялись» сразу двум хакерским группам.

Как всегда, в финальной главе отчета эксперты Group-IB приводят блок рекомендаций, который поможет принять превентивные меры против угрозы UltraRank и подобных ей. В частности, для минимизации риска хищения денежных средств с украденной карты, на стороне банка должно использоваться решение для поведенческого анализа, позволяющее банку отличить действия пользователя от злоумышленника. Владельцам онлайн-бизнеса Group-IB рекомендует на регулярной основе проводить экспресс-аудиты своих веб-сайтов, а раз в год — более глубокие исследования защищенности интернет-ресурсов. Все это не отменяет регулярного обновления ПО для CMS сайта со стороны владельцев сайтов и базовых знаний в области «цифровой гигиены» со стороны пользователей.