Троянские копии: эксперты рассказали о четырехмесячной хакерской атаке на банки России
9 декабря 2018 г. — Банки России
В течение четырех месяцев не менее 50 российских банков подвергались массированной хакерской атаке. По оценкам экспертов, каждая атака приносила злоумышленникам не менее 1 млн рублей. Хакеры выдавали себя за госучреждения и рассылали банками троянские «копии документов» или «служебные записки».
Нынешняя волна хакерских атак на российские банки началась не позднее 11 сентября, когда в кредитные учреждения начали приходить электронные письма с поддельных электронных адресов. Через эти сообщения в банковские системы попадал троян RTM для кражи денег из платежных систем, говорится в отчете компании, специализирующейся на кибербезопасности.
Под веерную рассылку опасных писем попали не только банки, но и промышленные и транспортные компании. Всего было разослано 11 тысяч сообщений, большая часть — в ноябре.
Хакеры пытались использовать человеческий фактор. Они выдавали себя за чиновников госучреждений и различных ведомств, например, Минтруда, а в темах писем указывали - «копии документов» или «служебная записка». Когда сотрудники банка открывали письмо, активизировался приложенный к нему троян. Он проникал в сервисы дистанционного банковского обслуживания и платежные системы и запускал системы удаленного управления компьютером. Это позволяло создать фиктивное платежное поручение и вывести деньги.
В Group IB полагают, что атака на каждое юридическое лицо приносила хакерам не менее 1 млн рублей. При этом уже в середине ноября сообщалось, что пострадало не менее 50 российских банков и несколько зарубежных финансовых учреждений.
В «Лаборатории Касперского» вычислили, что рассылкой «троянских копий» занималась группировка The Silence, которая объединяет нескольких русскоязычных хакеров. Ранее они уже «обкатали» этот способ краж на банках в Белоруссии, Азербайджане, Польше, Казахстане, Великобритании и Украине. Также хакеры из The Silence ответственны за атаки на системы управления банкоматами, карточный процессинг и российскую систему межбанковских переводов АРМ КБР.
В это же время банки атаковала еще одна группировка, MoneyTaker. Эти хакеры использовали поддельные адреса Центра мониторинга и реагирования на компьютерные атаки Центробанка РФ. Письма с троянами рассылались под видом соглашений о взаимодействии с Банком России в области кибербезопасности.
А на днях, судя по всему, к атаке на банки подключилась третья группировка. В Восточной Европе восемь банков подверглись атаке вируса DarkVishnya, который внедрялся в компьютерные системы через зараженные гаджеты. Ущерб оценивается в десятки миллионов долларов.
Что касается потерь российских банков, то, по данным ЦБ, только с января по август текущего года хакерам удалось умыкнуть почти 76,5 млн рублей, совершив 20 успешных взломов. В прошлом году показатели составляли 1 млрд и 22 взлома.