Компания Group-IB сообщила об оказании содействия 9-ому отделу УЭБиПК и Следственному Департаменту МВД России при проведении расследования и пресечении деятельности известного хакера, скрывавшегося в Интернете под псевдонимом «paunch».

Задержание 27-летнего жителя города Тольятти состоялось 4 октября 2013 года. Менеджер по рекламе и туризму, известный в Интернете под псевдонимом «paunch», — создатель популярных в среде киберпреступников связок эксплоитов «Blackhole» и «Cool Exploit Kit», а также сервиса анонимных антивирусных проверок файлов «Crypt.am». Помимо создателя вышеупомянутых преступных сервисов, сотрудниками полиции были предъявлены обвинения еще 12-членам межрегиональной преступной группы (в которую вошли такие известные киберпреступники как Germes, Pioneer, ADV, velles и др.) Участникам данного преступного сообщества предъявлена статья 210 УК РФ чч.1, 2 (создание и участие в преступном сообществе (преступной организации) в целях совместного совершения одного или нескольких тяжких или особо тяжких преступлений. Участие в таком сообществе наказывается лишением свободы на срок от 5 до 10 лет). Общий ущерб нанесенный данной группой лиц оценивается в 70 млн. рублей.

Связка эксплоитов «Blackhole» нашла первых покупателей летом 2010 года и постепенно набрала огромную популярность среди киберпреступников, желающих распространять вредоносные программы. Для установки вредоносных программ на компьютеры пользователей «Blackhole» использует уязвимости в компонентах программного обеспечения веб-браузеров, в том числе так называемые уязвимости «0-day» (уязвимости, исправление которых еще не было сделано со стороны производителя ПО). Источником посетителей, на компьютеры которых с помощью «Blackhole» устанавливались вредоносные программы, были, в основном, взломанные сайты и спам, рассылаемый по электронной почте.

Цена аренды связки эксплоитов «Blackhole» на сервере продавца составляла $500 в месяц. А цена аренды самого программного обеспечения для установки на собственном сервере — $700 за три месяца. В настоящий момент имеются сведения о более тысячи клиентов преступника. Известно, что каждый месяц только на своей незаконной активности «paunch» зарабатывал около 50 тысяч долларов США, а его личным автомобилем был белый «Porsche Cayenne».

С годами связка эксплоитов «Blackhole» получила высокие оценки в среде киберпреступников — именно «Blackhole» был выбором многих мошенников, специализирующихся на хищениях в системах интернет-банкинга, используемых клиентами банков из России, Украины, США и многих других государств. В 2012 году киберпреступником была представлена новая ветка развития связки эксплоитов, ориентированная на высокие потребности ключевых клиентов, — «Cool Exploit Kit». Новая связка эксплоитов была ориентирована, прежде всего, на повышение качества эксплуатации уязвимостей и, как следствие, на увеличение числа устанавливаемых на компьютеры жертв вредоносных программ. Связка эксплоитов «Cool Exploit Kit» сдавалась в аренду за более высокую цену и не была доступна хакерам-новичкам. По оценкам разных антивируcных компаний, продажи связок эксплойтов «Blackhole» и «Cool Exploit Kit» занимали около 40% процентов рынка. Это означает, что 40% заражений по всему миру делались с использованием этих средств, предоставляемых «paunch».

Примечательно, что для получения новых эксплоитов преступник использовал связи известного мошенника с псевдонимом «J.P.MORGAN», который от своего имени на различных хакерских форумах размещал объявления о покупке браузерных уязвимостей «0-day» и указывал контактный Jabber-адрес «gugusik@thesecure.biz» (использовался «paunch»-ем). Изначальный бюджет на покупку эксплоитов составлял 100 тысяч долларов США, но впоследствии был увеличен до 200 тысяч. Для покупки новых эксплоитов была также произведена попытка наладить контакт с некоторыми известными брокерами, активно работающими с государственными организациями. Объявления о покупке браузерных эксплоитов (на российском и зарубежных площадках).

Помимо продажи эксплоитов «paunch» также занимался поддержкой онлайн-сервиса «Crypt.am», который предоставлял «услуги по автоматическому сокрытию авторских исходных кодов» (иными словами: услуги по защите вредоносных программ от обнаружения антивирусными программами). Цена безлимитного тарифа (без ограничения числа «защищаемых» вредоносных программ) составляла $50 в месяц.