Tre ukrainske hackere skal ha blitt arrestert av politiet i henholdsvis Polen, Tyskland og Spania. Arrestasjonene skal ha skjedd i perioden januar til juni år, men har først når blitt offentlig kjent. Arrestasjonene skal ha skjedd etter etterforskning gjort av amerikanske justismyndigheter, inkludert FBIs Cyber Task Force i Seattle.
Alle de tre er begjært utlevert til USA, og én av dem skal allerede være i amerikansk varetekt.
Betalingskort
De tre mennene, som er i alderen 30 til 44 år, mistenkes å være medlemmer av en kyberkrimgruppe som kalles for FIN7, men også i blant Navigator Group eller Carbanak Group.
Gruppen skal operere fra Øst-Europa og ha utført skadevarekampanjer mot mer enn hundre amerikanske bedrifter. Flere av disse er store kjeder, inkludert Chipotle Mexican Grill, Chili’s, Arby’s, Red Robin og Jason’s Deli. Dette opplyser USAs justisdepartement.
Spesielt er det virksomheter innen restaurant-, pengespill- og overnattingsbransjene som har vært mål for angrepene. Hos disse skal gruppen ha fått tilgang til tusenvis av IT-systemer og stjålet mer enn 15 millioner dataoppføringer om kreditt- og debetkort.
Dette skal ha blitt gjort ved mer enn 6500 ulike salgsterminaler hos mer enn 3600 virksomheter og avdelinger i alle de amerikanske statene, bortsett fra Alaska, Hawaii og Sør-Dakota.
Kortinformasjonen skal gruppen enten ha utnyttet selv eller solgt videre. Dette skal ha pågått i alle fall siden 2015.
Også i andre land
Det understrekes samtidig at disse tallene kun handler om gruppens virksomhet i USA. Gruppen skal også ha utført lignende angrep og datatyverier i blant annet Storbritannia, Frankrike og Australia.
Fedir Hladyr, som allerede sitter i varetekt i Seattle, antas å ha vært FIN7-gruppens systemadministrator. Han skal ha sørget for gruppens servere og kommunikasjonskanaler, samt hatt en sentral koordinerende rolle blant gruppens flere titalls medlemmer.
Dmytro Fedorov anses som en svært dyktig hacker og skal også ha hatt en lederrolle i gruppen. Det tredje medlemmet som har blitt arrestert, Andrii Kolpakov, antas å ha vært en rådgiver for gruppen.
Dyktig utført
Ifølge USAs justisdepartement skal gruppen ha spredt skadevaren ved hjelp epostmeldinger som har blitt nøye forfattet, slik at de har framstått som legitime for ansatte i de rammede virksomhetene. Gruppens medlemmer skal ha fulgt opp epostutsendelsene ved å ringe mottakerne for øke troverdigheten til meldingene og for å lokke mottakerne til å åpne vedleggene.
De ondsinnede vedleggene har deretter lastet ned ytterligere skadevare til brukernes pc-er. Dette har gitt hackergruppen oversikt over virksomhetenes ansatte, samt til å få tak i innloggingsinformasjonen til handelssystemene.
Flere detaljer om hvordan gruppen har jobbet, finnes i dette dokumentet.
Gruppen opererte under dekke av et selskap, Combi Security, som angivelig har hatt avdelinger i både Russland og Israel. Selskapet har blant annet blitt brukt til å rekruttere hackere. Utad har selskapet opplyst at det kunne tilby ulike IT-sikkerhetstjenester, inkludert penetrasjonstesting.
Flere av de amerikanske selskapene som har blitt offer for FIN7-gruppens kriminelle virksomhet, var ironisk nok oppført som kunder på selskapets nettsted.
Les også: Disse fem filtypene brukes av nesten all skadevare levert som epostvedlegg
