Reveton ударили по карману ― и не только

В Испании и ОАЭ задержаны 11 уроженцев Восточной Европы по подозрению в корыстном распространении троянца-блокера Reveton, заразившего десятки тысяч ПК по всему миру.

Аресты произведены по промежуточным результатам расследования, проводимого спецподразделениями испанской полиции совместно с Европолом и Интерполом. По предварительным оценкам, зловредный шантажист приносил злоумышленникам более 1 млн. евро в год.

Троянский блокер Reveton (в классификации ЛК Trojan-Ransom.Win32.Foreign) известен как «вирус-полицейский». Распространяется он, в основном, через рекламные баннеры на порносайтах, перенаправляющие посетителя на площадки с зксплойтами. При запуске шантажист выводит во весь экран грозное сообщение от имени блюстителей законности, обвиняя жертву в скачивании пиратского контента или детской порнографии из Сети и требуя незамедлительной уплаты штрафа ― в Западной Европе мошенники взимают 100 евро. При этом доступ к рабочему столу эффективно блокируется. Вымогательские сообщения используют локализованные шаблоны с логотипом местного органа правопорядка: национальной киберполиции, ФБР, IC3.

Расследование, получившее кодовое наименование «Operation Ransom» («операция Выкуп»), было запущено в мае 2011 г. по жалобам испанцев, обратившихся за помощью в полицию, ― общим числом свыше 1,2 тысяч заявлений. Согласно версии следствия, 27-летний россиянин, задержанный в Дубае по запросу испанских властей, является главарем ОПГ и автором Reveton. Арабские власти уже рассматривают вопрос о его экстрадиции.

Еще шестеро россиян, двое украинцев и двое грузин, задержанных на территории Испании, занимались отмыванием и обналичиванием денег, полученных от жертв кибервымогательства. Оплату «штрафа» за нелегальный контент, якобы обнаруженный на машине жертвы, аферисты принимали в электронной валюте Ukash, Paysafecard и MoneyPak. Эти деньги затем проводились через игровые порталы, легальные платежные системы или обращались в виртуальную валюту, а затем конвертировались в реальные евро и высылались в Россию. «Кассиры» также регулярно получали из США поддельные кредитки, изготовленные с помощью украденных реквизитов, и исправно опустошали взломанные счета, снимая деньги через банкоматы.

Reveton вначале появился в Рунете, затем стал использовать геопривязку и переселился в Европу, а в минувшем году откочевал за океан ― в США и Канаду. Symantec детектирует его варианты также в Индии и Австралии. В конце прошлого года были обнаружены версии Reveton, использующие фальшивую цифровую подпись и звуковое сопровождение, причем аудиотекст вымогательских требований воспроизводится на том же языке, на котором исполнен визуальный дубликат.

По данным испанской полиции, шантажу с участием Reveton подверглись жители 30 стран, преимущественно европейских. При этом с деньгами добровольно расстались менее 3% жертв, но это не избавило их от зловредной заставки на рабочем столе. Задержанным могут предъявить обвинения в отмывании денег, преступном сговоре и мошенничестве. Расследование еще не закончено, и испанские власти не исключают возможность дополнительных арестов.