Kiberjinoyatchilar bank troyanlarini tarqatish uchun birlashdilar.
Mutaxassislar kiberjinoyatchilik sohasida yangi tendentsiyani payqashdi.
Bank troyanlari hozirda foydalanuvchilar va tashkilotlar uchun asosiy tahdidlardan biri hisoblanadi. Faqat 2018-yilda mutaxassislar ushbu turdagi zararli dasturlardan foydalangan holda taxminan 900 000 ta hujumni qayd etishdi. Zeus, Redaman, BackSwap, Emotet, Gozi va Ramnit eng mashhur oilalardan bir nechtasi. Yaqin vaqtgacha ushbu zararli dasturlar kampaniyalari tashkilotchilari o’rtasida raqobat mavjud edi, ammo IBM X-Force jamoasi mutaxassislari yangi tendentsiyani payqashdi: kiberjinoyatchi guruhlar bank troyanlarini tarqatish uchun kuchlarini birlashtira boshladilar. Ushbu hamkorlikning bir misoli Trickbot va IcedID troyanlari bo’lib, ular Gozi va Ramnit bilan birgalikda 2018-yilda eng faollar qatoriga kirdi. Rus tilida so’zlashuvchi guruh tomonidan yaratilgan deb taxmin qilingan Trickbot asosan banklar va moliya institutlariga hujumlarda ishlatilgan, ammo o’tgan yili uning operatorlari o’z maqsadlarini turli elektron tijorat saytlari va kriptovalyuta birjalarini qamrab olish uchun kengaytirdilar.
Tadqiqotchilarning fikriga ko’ra, 2018-yil may oyida Trickbot ilgari Emotet troyan dasturi orqali tarqatilgan IcedID troyan dasturini yuklab olishni boshladi. Uch oy o’tgach, IcedID ba’zi o’zgarishlarga uchradi va funktsional jihatdan Trickbotga o’xshash bo’ldi. Xususan, ishlab chiquvchilar ikkilik faylni o’zgartirib, uning hajmini kamaytirdilar va plaginlarni talab bo’yicha yuklab olish imkoniyatini qo’shdilar. Zararli dastur yozuvchilari ba’zan bir-biridan qarz olsalar-da, bu holda o’zgarishlar tasodifiy emas va guruhlar o’rtasidagi hamkorlikni ko’rsatadi, deb ta’kidladi tadqiqotchilar.
Gozi troyan dasturi kiberjinoyatchilik sahnasida yana bir muhim o’yinchi hisoblanadi. Zararli dasturning birinchi versiyalari 2007-yilda aniqlangan va uning manba kodining 2010-yilda sizib chiqishi bugungi kunda ham faol bo’lgan turli xil troyan dasturlarining yaratilishiga olib keldi. Hozirda zararli dasturning ikkita asosiy versiyasi mavjud: Gozi v.2 va Gozi v.3. Birinchisi asosan yirik moliya institutlariga hujumlarda qo’llaniladi, ikkinchisi esa Avstraliya va Yangi Zelandiyadagi banklarga qaratilgan.
Mutaxassislarning fikriga ko’ra, Gozi operatorlari URLZone zararli dastur operatorlari bilan hamkorlik qiladi. O’tgan yilgi kampaniya davomida ikkinchisi botnet yaratish, orqa eshiklar yaratish va ma’lumotlarni o’g’irlash uchun ishlatilgan Cutwail va Gozi troyanlarini yuklab oldi.
Ramnit troyanining operatorlari ham boshqa guruhlar bilan hamkorlik qilishdan tortinmaydilar. Ramnit 2010-yildan beri faol bo’lib kelmoqda va dastlab kompyuterlar, tarmoqlar va olinadigan disklarni yuqtirish uchun qurt sifatida boshlangan. Biroq, vaqt o’tishi bilan u modulli bank troyaniga aylandi, u hozirda Angler va RIG eksploit to’plamlari yordamida tarqatilmoqda.
2015-yilda huquqni muhofaza qilish organlari Ramnit botnetini yopib qo’yishdi, ammo uch yildan so’ng, troyan kiberjinoyatchilik sahnasiga «sherik» – proksi-servis vazifasini bajaruvchi Ngioweb zararli dasturi bilan qaytdi. Zararli kampaniya davomida atigi ikki oy ichida taxminan 100 000 ta qurilma troyanlar bilan zararlangan. Mutaxassislarning fikricha, zararli dastur operatorlari o’rtasidagi bu qisqa muddatli hamkorlikning maqsadi mashhur Gameover Zeusga o’xshash hajmdagi botnet yaratish edi.
