Автора Blackhole exploit kit, который известен под псевдонимом Paunch (Дмитрий Федотов), приговорили к семи годам заключения. Приговор был вынесен Замоскворецким судом г. Москвы. Кроме Федотова на скамье подсудимых оказались еще шестеро киберпреступников, все они получили сроки от 5,5 до 8 лет. Суд оценил ущерб от действий хакеров в 20 млн. рублей. Киберпреступники работали совместо, если один из них специализировался на взломе легитимных сайтов, то Paunch специализировался на разработке Blackhole, ссылки на который проставлялись на скомпрометированных ресурсах.
Особенностью Blackhole exploit kit была способность реализовывать скрытные drive-by download атаки с использованием встроенных в набор эксплойтов отдельных таких эксплойтов для веб-браузеров, а также их плагинов. Blackhole стал одним из самых коммерчески успешных проектов киберпреступников среди прочих, он также был первым таким изделием, которое предлагалось другим киберпреступникам в аренду за плату (crimeware-as-a-service).
Рис. Автор Blackhole exploit kit.
Paunch был арестован еще в конце 2013 г., о чем мы писали в посте на нашем блоге. Известная российская компания Group-IB участвовала в поимке этого киберпреступника. После покупки crimeware-пакета у автора, злоумышленник получал в свое распоряжение все функции управления набором эксплойтов. Панель управления используется для просмотра статистики, «залива» нужных файлов, контроля над раздаваемыми эксплойтами.
Рис. Типичная панель управления crimeware-пакетом Blackhole. Оператор может посмотреть статистику успешности работы набора эксплойтов, а также загрузить необходимые файлы вредоносных программ для «раздачи».
Одной из «изюминок» Blackhole было включение в его состав т. н. 0day эксплойтов, которые использовались в кибератаках на пользователей. Данный сценарий атаки был очень опасен для пользователей, поскольку используемые эксплойтами уязвимости еще не были закрыты вендорами, например, Microsoft. Это существенно увеличивало вероятность успешного применения эксплойта для drive-by download. В случае незаметной компрометации известного веб-сайта, профит для злоумышленников был огромным.
По информации Group-IB, BlackHole начал набирать популярность еще в 2010 г.
Связка эксплоитов «Blackhole» нашла первых покупателей летом 2010 года и постепенно набрала огромную популярность среди киберпреступников, желающих распространять вредоносные программы. Для установки вредоносных программ на компьютеры пользователей «Blackhole» использует уязвимости в компонентах программного обеспечения веб-браузеров, в том числе так называемые уязвимости «0-day» (уязвимости, исправление которых еще не было сделано со стороны производителя ПО). Источником посетителей, на компьютеры которых с помощью «Blackhole» устанавливались вредоносные программы, были, в основном, взломанные сайты и спам, рассылаемый по электронной почте.
Цена аренды связки эксплоитов «Blackhole» на сервере продавца составляла $500 в месяц. А цена аренды самого программного обеспечения для установки на собственном сервере — $700 за три месяца. В настоящий момент имеются сведения о более тысячи клиентов преступника. Известно, что каждый месяц только на своей незаконной активности «paunch» зарабатывал около 50 тысяч долларов США, а его личным автомобилем был белый «Porsche Cayenne».
Антивирусные продукты ESET обнаруживают вредоносные веб-страницы и компоненты Blackhole как JS/Iframe.DE, Java/Exploit.Blacole, SWF/Exploit.Blacole, а также под общими обнаружениями типа HTML/IFrame.
Автор: ESET NOD32