Похищенные данные хакеры используют для рассылки спама, взимая с заказчиков плату за эту услугу. Фактов продажи украденной информации эксперты не выявили.
Учетные записи были украдены с 420 тыс. веб-сайтов, включая сайты компаний, которые у всех на слуху. «Хакеры похищали данные с любого сайта, где была такая возможность, — начиная с ресурсов компаний, входящих в список Fortune 500, и заканчивая небольшими порталами», — рассказал основатель и директор по информационной безопасности Hold Security Алекс Холден (Alex Holden).
Группировка действует из небольшого города в южной части России, расположенного рядом с границей с Казахстаном и Монголией. Серверы, которые они используют в своей деятельности, расположены на территории России, утверждает Холден.
Обязанности в группировки разделены: некоторые занимаются программированием, другие — непосредственно проведением атак. «Группа похожа на небольшую компанию, каждый сотрудник которой зарабатывает себе на жизнь», — рассказал эксперт.
По словам Холдена, группа начала свою деятельность в 2011 г. путем приобретения базы с персональными данными на черном рынке. В апреле 2014 г. группа стала более активной. Аналитик предполагает, что хакеры объединились с какой-то неизвестной ему другой командой или купили методы и инструменты для взлома сайтов.
Похищенные учетные записи русские хакеры используют для рассылки спама
В своей работе группировка использует ботнеты — сети зараженных «компьютеров-зомби». Это компьютеры, которые исполняют дистанционные команды хакеров и используются ими в корыстных целях, наряду с сотнями или тысячами других таких систем. При этом пользователи остаются в неведении, не подозревая, что их компьютер эксплуатируется кем-то еще.
Применение ботнетов позволяет вести сбор данных в крупных масштабах. К концу июля 2014 г. Hold Security проанализировала свыше 4,5 млрд похищенных хакерами учетных записей, однако выяснилось, что большинство из них повторяются. Выполнив сортировку, эксперты выявили логины и пароли от 1,2 млрд уникальных аккаунтов.
Hold Security не раскрывает имена жертв, так как это противоречит ее правилам оказания услуг. Тем не менее, в статье NYT упоминается Twitter, как одна из сетей, посредством которых хакеры распространяют спам.
Холден сообщил, что в число жертв вошли не только американские, но и российские компании. Он добавил, что большинство взломанных сайтов по-прежнему содержат уязвимости, которыми воспользовались злоумышленники. В докладе аналитика также фигурирует фраза, что, по его мнению, хакеры не имеют связей с правительством России.
Hold Security специализируется на поиске похищенной информации. В прошлом году Hold Security сообщила об обнаружении базы с данными десятков миллионов учетных записей, принадлежащих пользователям компании Adobe Systems. В начале 2013 г. компания также обнаружила свыше 300 млн учетных записей, принадлежащих различным компаниям и выставленных хакерами на продажу.
Согласно исследованию Ponemon Institute и IBM, средняя величина урона компании от хакерской атаки в 2014 г. составила $3,5 млн. По сравнению с прошлым годом это значение возросло на 15%.