«Золотой век» Buhtrap: разбираем троян-долгожитель

08.06.2022
«Золотой век» Buhtrap: разбираем троян-долгожитель
Специалисты Лаборатории цифровой криминалистики Group-IB в свежем блоге разбирают легендарный банковский троян-долгожитель Buhtrap. Ущерб от атак группы Buhtrap, который зафиксировали эксперты Group-IB в 2020−2022 годах, оценивается как минимум в 2 млрд рублей. Глобальный ущерб от Buhtrap за все годы его активности может достигать 6−7 млрд рублей. Как работает Buhtrap, как он эволюционировал за эти годы и как теперь пользователям и бизнесу защитить свои деньги — разбираемся в этом блоге
В начале этого года неспешное субботнее утро специалиста Group-IB — с семейным завтраком, тренировкой по теннису и поездкой к родителям — полетело в тартарары после звонка безопасника одной российской компании. У предприятия украли пару десятков миллионов рублей: деньги увели со счета несколькими траншами, причем все платежные переводы, как и положено, были подписаны цифровой подписью — токеном главбуха. Безопасник хотел разобраться, как это произошло.

На первый взгляд все переводы казались легальной операцией. Однако некоторая странность в них все-таки была: пароль для входа в систему клиент-банк был не напечатан на клавиатуре, а скопирован из буфера. Записи видеокамер показали, что в этот момент за компьютером никого не было — бухгалтер уходил на обед. Выходит, к ПК кто-то подключился удаленно? Ответ на вопрос, как это произошло, дали специалисты Лаборатории цифровой криминалистики Group-IB: компьютер главбуха был заражен вредоносной программой. И это оказался... наш старый знакомый — троян-долгожитель Buhtrap.

Шесть лет назад Group-IB первой из вендоров выпустила отчет о деятельности преступной группы Buhtrap, которая атаковала банки и компании, заражая пользователей — преимущественно бухгалтеров, юристов и директоров — одноименным банковским трояном. За активностью этого вредоносного ПО эксперты Group-IB наблюдают примерно с 2014 года: тогда исходные коды Buhtrap были опубликованы в открытом доступе и начался вал атак через систему клиент-банк.

Прошло 8 лет, а киберпреступники продолжают использовать этот "троян-долгожитель". На хакерских форумах до сих пор можно встретить объявления: "Ищу вот эти штуки Buhtrap и RTM куплю только с инструкцией а лучше всего с настройкой и установкой" или "Я ищу это Buhtrap и RTM и того кто разбирается в настройках" (орфография и пунктуация сохранены). Как работает Buhtrap, как он эволюционировал за эти годы и как теперь пользователям и бизнесу защитить свои деньги — разбираемся в этом блоге.


Популярные материалы