Сотрудники Департамента киберполиции Национальной полиции Украины выявили группу лиц, специализирующуюся на создании вредоносного программного обеспечения, его распространении за денежные средства, несанкционированном вмешательстве в работу ЭВМ и автоматизированных систем финансовых организаций.

Полицейские установили, что участники преступной группы в период с июня по август 2018 года на территории города Черкассы снимали жилье, где организовали схему создания и сбыта вредоносных программ. В данный период злоумышленники, благодаря сотрудничеству с одним из бывших работников банковского учреждения, разработали основные составляющие части вредоносного программного обеспечения.

Вредоносное ПО, в создании и продаже которого и подозревают группу, состоит из трех исполняющих файлов: программы для сканирования кассет банкомата, программы выдачи денежных средств и программы генерации кодов для работы программы. Первые два файла (cm17F.exe, Stimulator22.exe) продавцы ПО пересылают до оплаты, а программу генерации кодов - после оплаты за «товар».

– По результатам изучения двух указанных файлов (cm17F.exe, Stimulator22.exe) установлено, что исследуемые файлы зашифрованы утилитой «VMProtect». В ходе анализа выявлено, что файл с названием «Stimulator22.exe» является генератором кода доступа. Файл «cm17F.exe» содержит логику и команды для работы с кассовым модулем банкоматов Wincor Nixdorf, –говорится в материалах дела. – Установлено, что логика работы программы «cm17F.exe» предназначена для несанкционированной выдачи наличных из банкомата, а поэтому оно может считаться вредоносным программным обеспечением.

По данным следствия, основной организатор группы познакомился с пользователем мессенджера Telegram, который предлагал к продаже вредоносное программное обеспечение, предназначенное для несанкционированного вмешательства в работу банковских автоматов самообслуживания и завладения денежными средствами с банкомата. В ходе связи с последним установлено, что денежные средства за продажу вредоносного ПО необходимо присылать на электронный кошелек WebMoney, выданный уроженцу Запорожской области.

Правоохранители установили не только адрес проживания продавца, IP-адрес и профили в социальных сетях, но и то, что помощь в шифровании файлов ему предоставляет пользователь различных хакерских форумов - «раздает данные из стиллера, продает данные аккаунтов граждан и тому подобное».  

Помощницу продавца, адрес проживания и её номер мобильного следствие также установило. Кроме того, полицейские установили ещё одного предполагаемого участника преступной группы, жителя Запорожской области. Вышли киберкопы и на человека, который выполняет роль криптовальщика, что позволяет вредоносному программному средству не быть обнаруженным антивирусным программным обеспечением.

Уголовное дело по признакам уголовного преступления, предусмотренного ч. 2 ст. 361 УК Украины, было открыто 31 января. Участникам группы грозит до шести лет лишения свободы.