Лента новостей
Госдума отменила в России национальный роуминг 14:24, Технологии и медиа В Эстонии задержали 10 человек по делу об отмывании миллиардов долларов 14:23, Финансы Россиянин умер в тюрьме в Львовской области 14:23, Общество При пожаре на складе мебели в Татарстане погибли два человека 14:19, Общество Въехавший в переход в Москве водитель автобуса получил 4 года колонии 14:16, Общество Почему рынок труда Тверской области готов к масштабным инвестициям 14:11, Партнерский материал Греция не выдаст России обвиненного в мошенничестве на $4 млрд Винника 14:10, Общество Аналитики спрогнозировали рост числа абонентов виртуальных операторов 14:09, Технологии и медиа В честь Трампа назвали вымирающий вид амфибий 14:08, Общество Как легально, выгодно и безопасно продать криптовалюту в России 14:06, РБК и EXMO ВЦИОМ зафиксировал сокращение критично настроенных к мигрантам россиян 14:05, Общество Частичная капитуляция: что произошло с Bitcoin в 2018 году 13:56, Крипто Московский метрополитен вновь проиграл в суде бывшему рекламному партнеру 13:53, Технологии и медиа Как улучшить службу поддержки: рекомендации от «Додо пицца» 13:52, PRO Американский провайдер заплатит абонентам $174 млн за слабый интернет 13:51, Quote В наукограде при космодроме Восточный пропали 700 т мазута 13:31, Общество В онкоцентре на Каширском шоссе нашли ящики с мумиями 13:17, Общество Как сделать ЗОЖ-блюдо вкусным 13:15, РБК и Barilla Аксенов прокомментировал сведения о готовящейся Киевом провокации в Крыму 13:13, Политика Иркутского полицейского арестовали по делу об изнасиловании в участке 13:12, Общество В Ставрополе ФСБ ликвидировала группу боевиков «Исламского государства» 13:11, Общество Кремль попросит Кожемяко заняться арестованными косатками и белухами 13:07, Общество Партнер «Ростеха» блокчейн-платформа Vostok привлекла $120 млн инвестиций 13:07, Технологии и медиа Как запустить ресторан с нуля в разгар санкций 13:04, РБК и Samsung Кремль отверг зависимость контракта по С-400 от поставок Patriot в Турцию 13:00, Политика Мутко покинул пост главы РФС 12:56, Общество Лофт, ар-деко или неоклассика: какой ремонт сделать в квартире 12:55, РБК и Whirlpool Майк Новограц: резких падений Bitcoin больше не будет 12:55, Крипто
Эксперты сообщили о масштабной атаке хакеров на российские банки
Финансы, 15 ноя, 18:50
0
Эксперты сообщили о масштабной атаке хакеров на российские банки
По данным Group-IB, фишинговые письма, замаскированные под официальные сообщения ЦБ, получили в четверг более 50 российских банков. В «Лаборатории Касперского» назвали рассылку частью целевой атаки хакерской группы The Silence
Фото: Luke MacGregor / Bloomberg

В четверг, 15 ноября, эксперты компании ​Group-IB зафиксировали массовую рассылку вредоносных писем, направленных злоумышленниками в несколько десятков российских банков под видом официальных сообщений ЦБ.

«Письма с темой «Информация Центрального банка Российской Федерации» предлагали получателям ознакомиться с постановлением регулятора «Об унифицировании формата электронных банковских сообщений ЦБ РФ» и незамедлительно приступить к исполнению «приказа», — говорится в сообщении Group-IB.

В компании пояснили, что стиль и оформление фишинговых писем были практически идентичны официальным сообщениям Банка России, однако отправлены были с поддельного адреса регулятора.

В «Лаборатории Касперского» РБК подтвердили факт фишинговой рассылки, которая была замаскирована под уведомления от ЦБ. «Упоминание государственной организации в подобных случаях очень распространенная практика. Важно понимать, что настоящие ресурсы регулятора не были затронуты и остаются под защитой, фальшивые письма обычно только повторяют дизайн и стиль текста. Данная рассылка стала частью целевой атаки The Silence», — объяснил ведущий антивирусный эксперт «Лаборатории Касперского» Сергей Голованов.

Банк России заявил, что ему известно о данных атаках. «Участники информационного обмена с ФинЦЕРТ были предупреждены о них. Начиная с июля ФинЦЕРТ использует для информационного обмена автоматизированную систему обработки инцидентов, которая позволяет осуществлять защищенный и оперативный обмен информацией об инцидентах и операциях, совершенных без согласия клиента на основе базы данных «Фид-Антифрод». Резервным каналом доставки информации является канал электронной почты. Все сообщения, отправляемые посредством электронной почты, подписаны ЭЦП [электронная цифровая подпись] ​ФинЦЕРТ», — заявили РБК в пресс-службе регулятора.

По данным ​Group-IB, получателями фишинговых писем были не менее 52 банков в России и не менее пяти банков за границей, а общее число подвергшихся атаке банков может превысить сто.

«Пользователи почтовой системы ВТБ не получали подобных вредоносных рассылок. Атаки на системы банка ВТБ, включая вредоносные почтовые рассылки, производятся регулярно, поэтому системы защиты всегда поддерживаются в актуальном состоянии», — заявили РБК в пресс-службе ВТБ.

При попытке распаковать приложенный к письму архивный файл пользователь загрузил бы на свой компьютер программу Silence.Downloader, используемую группировкой The Silence, в состав которой входят русскоязычные хакеры. Ранее она уже атаковала банки в России, на Украине, в Белоруссии, Азербайджане, Польше, Казахстане и Великобритании, а также системы управления банкоматами, карточный процессинг и российскую систему межбанковских переводов АРМ КБР.

По словам руководителя отдела динамического анализа вредоносного кода, эксперта по киберразведке Group-IB Рустама Миркасымова, The Silence входит в число наиболее опасных хакерских группировок, которые представляют реальную угрозу для международных финансовых организаций. ​

​«Атакующие используют известный и по-прежнему очень эффективный метод — получают доступ к внутренней банковской сети и закрепляются в ней. В течение долгого времени киберпреступники изучают внутреннюю инфраструктуру сети и производят запись с экранов машин сотрудников банка. После анализа того, как используется внутрибанковское ПО, киберпреступники осуществляют перевод денежных средств», — рассказал Голованов.

​По данным Group-IB, в конце октября атаку на российские банки провела еще одна группировка хакеров — MoneyTaker. В ходе этой атаки с поддельного адреса «ФинЦЕРТ», структуры департамента информационной безопасности ЦБ, также были разосланы письма с опасными вложениями, замаскированными под соглашение о взаимодействии с ЦБ по вопросам мониторинга.

«Хакеры из MoneyTaker используют все возможные векторы атак на банки: они могут, например, отправить фишинговое письмо, провести drive by атаку или тестирование сетевой инфраструктуры банка на наличие уязвимостей. А уже после получения доступа к внутренним узлам сети хакеры легко проводят атаки и вывод денег через карточный процессинг или систему межбанковских переводов», — пояснил Миркасымов.

​В Group-IB пояснили, что информация о потенциальной угрозе была доведена до клиентов компании из числа российских банков.

По данным ЦБ, за первые восемь месяцев объемы хищений хакерами из банков снизились (по сравнению с январем—августом) в 14 раз, с 1,078 млрд до 76,5 млн руб.

Магазин исследований: аналитика по теме "Банки"