Эксперты сообщили о масштабной атаке хакеров на российские банки

Опубликовал admin  •  Рубрики: Бизнес и финансы

По данным Group-IB, фишинговые письма, маскирующиеся под официальные сообщения ЦБ, получили в четверг более 50 российских банков. В «Лаборатории Касперского» назвали рассылку частью целевой атаки хакерской группы The Silence

В четверг, 15 ноября, эксперты компании ​Group-IB зафиксировали проведение массовой рассылки вредоносных писем, направленных злоумышленниками в несколько десятков российских банков под видом официальных сообщений ЦБ.

«Письма с темой «Информация центрального банка Российской Федерации» предлагали получателям ознакомиться с постановлением регулятора «Об унифицировании формата электронных банковских сообщений ЦБ РФ» и незамедлительно приступить к исполнению «приказа», — говорится в сообщении Group-IB.

В компании пояснили, что стиль и оформление фишинговых писем были практически идентичны официальным сообщениям Банка России, однако отправлены они были с поддельного адреса регулятора.

В «Лаборатории Касперского» РБК подтвердили факт фишинговой рассылки, которая была замаскирована под уведомления от ЦБ. «Упоминание государственной организации в подобных случаях — очень распространенная практика. Важно понимать, что настоящие ресурсы регулятора не были затронуты и остаются под защитой, фальшивые письма обычно только повторяют дизайн и стиль текста. Данная рассылка стала частью целевой атаки The Silence», — объяснил ведущий антивирусный эксперт «Лаборатории Касперского» Сергей Голованов.

РБК отправил запрос в ЦБ.

По данным ​Group-IB, получателями фишинговых писем были не менее 52 банков в России и не менее пяти банков за границей, а общее число подвергшихся атаке банков может превысить 100.

При попытке распаковать приложенный к письму архивный файл пользователь загрузил бы на свой компьютер программу Silence.Downloader, используемую группировкой Silence, в состав которой входят русскоязычные хакеры. Ранее группировка уже атаковала банки в России, Украине, Белоруссии, Азербайджане, Польше, Казахстане и Великобритании, а также системы управления банкоматами, карточный процессинг и российскую систему межбанковских переводов АРМ КБР.

По словам руководителя отдела динамического анализа вредоносного кода, эксперт по киберразведке Group-IB Рустама Миркасымова, Silence входит в число наиболее опасных хакерских группировок, которые представляют реальную угрозу для международных финансовых организаций. ​

​«Атакующие используют известный и по-прежнему очень эффективный метод — получают доступ к внутренней банковской сети и закрепляются в ней. В течение долгого времени киберпреступники изучают внутреннюю инфраструктуру сети и производят запись с экранов машин сотрудников банка. После анализа того, как используется внутрибанковское ПО, киберпреступники осуществляют перевод денежных средств», — рассказал Голованов.

​По данным Group-IB, в конце октября 2018 года атаку на российские банки провела еще одна группировка хакеров под названием MoneyTaker. В ходе этой атаки с поддельного адреса ФинЦЕРТ, структуры Департамента информационной безопасности ЦБ, также были разосланы письма с опасными вложениями, замаскированными под соглашение о взаимодействии с ЦБ по вопросам мониторинга.

«Хакеры из MoneyTaker используют все возможные векторы атак на банки: они могут, например, отправить фишинговое письмо, провести drive by атаку или тестирование сетевой инфраструктуры банка на наличие уязвимостей. А уже после получения доступа к внутренним узлам сети хакеры легко проводят атаки и вывод денег через карточный процессинг или систему межбанковских переводов», — пояснил Миркасымов.

​В Group-IB пояснили, что информация о потенциальной угрозе была доведена до клиентов компании из числа российских банков.

По данным ЦБ, за первые восемь месяцев объемы хищений хакерами из банков снизились (по сравнению с январем-августом) в 14 раз — с 1,078 млрд руб. до 76,5 млн руб.

Авторы:
Александра Посыпкина, Анна Балашова, Евгений Калюков.

Без коммент.  • Ноябрь 15, 2018

Оставьте комментарий:

Вы должны быть авторизованы.

[ads-pc-1]