Одной из наиболее активных киберпреступных группировок, специализирующихся на проведении атак на онлайн-магазины из разных стран мира, стала группа хакеров UltraRank, которая за последние 5 лет осуществила кибератаки более чем на 700 онлайн-шопов.
Сообщается, что русскоязычная группировка UltraRank атакует преимущественно европейские, азиатские и латиноамериканские магазины с использованием JavaScript-снифферов. Похищенную конфиденциальную информацию злоумышленники продают в собственном хакерском онлайн-магазине. Примерный заработок киберпреступников – около 7000 долларов ежедневно.
JS-снифферы в последние два года практически полностью вытеснили традиционные банковские трояны. Снифферы теперь – это главные поставщики текстовых баз данных, содержащих платежную информацию пользователей, для хакерских онлайн-площадок.
JS-снифферы представлены в виде набора семплов в небольшими различиями в коде. Их интегрируют киберпреступники на веб-ресурс для перехвата данных, которые вручную вводит пользователь – платежную информацию, логины, пароли, персональные данные и многое другое. Чаще всего JS-снифферы внедряются в онлайн-магазины, которые построены на редко обновляемых и не имеют системы защиты 3D-Secure.
В хакерскую группировку входят русскоязычные хакеры. ИБ-специалисты выяснили, что хакеры используют на данный момент три семейства JS-снифферов: FakeLogistics, WebRank и SnifLite. Они применяются для внедрения в онлайн-магазины, в которых предусмотрена онлайн-оплата покупок.
В период с 2015 г. по сегодняшний день группировка UltraRank сформировала автономную модель с собственной организационной и технической инфраструктурой, системой продажи и монетизации похищенных финансовых данных. К примеру, группа UltraRank располагает собственной торговой площадкой ValidCC, на которой, по статистике, ежедневно совершаются сделки на общую сумму в 5-7 тыс. долларов. Также доход идет с комиссии – другие продавцы украденной финансовой информации также продают здесь данные.
По информации ИБ-экспертов из компании Group-IB, в последние 5 лет группировка UltraRank провела кибератаки и заразила вредоносным ПО почти 700 онлайн-магазинов. Также хакеры проводили атаки и на более крупные цели, для чего использовались более сложные механики и методы (в частности supply chain).
