Перейти к основному контенту
Финансы ,  
0 
Эксклюзив

Хакеры впервые за три года украли деньги банка с его корсчета в ЦБ

Как работает эта схема и сколько удалось вывести из кредитной организации
Group-IB: хакеры впервые за три года похитили деньги из банка через его кабинет в ЦБ
Хакерская группировка MoneyTaker смогла успешно атаковать российский банк через его рабочее место в ЦБ. До этого подобная атака была в 2018 году. У банка не из первой сотни смогли украсть более полумиллиарда рублей, выяснил РБК
Фото: Павел Головкин / AP
Фото: Павел Головкин / AP

В начале 2021 года хакеры после трехлетнего перерыва смогли украсть денежные средства одного из российских банков через атаку на автоматизированное рабочее место клиента Банка России (АРМ КБР). Об этом говорится в отчете компании Group-IB об угрозах безопасности финансового сектора «Большой куш: угрозы для финансовых организаций». С помощью АРМ проводятся межбанковские денежные переводы с корреспондентского счета, открытого в ЦБ.

«После долгого затишья группа MoneyTaker успешно атаковала российский банк. Очевидно, что злоумышленники на этом не остановятся и будут продолжать атаковать АРМ КБР», — говорится в отчете. В прошлый раз MoneyTaker успешно атаковала по такой схеме ПИР Банк. Инцидент произошел летом 2018 года, тогда злоумышленникам удалось украсть с корсчета в Банке России более 58 млн руб., сообщал «Коммерсантъ». В октябре 2018 года ЦБ отозвал лицензию у этого банка.

Group-IB предупредила об атакующей ретейл группе хакеров
Технологии и медиа
Фото:SeongJoon Cho / Bloomberg

Название банка и сумму похищенных средств Group-IB не называет. По словам источника РБК, близкого к ЦБ, хакеры таким образом смогли украсть более полумиллиарда рублей. Другой источник на рынке кибербезопасности отметил, что пострадал действующий «не очень крупный банк». Еще один собеседник знает, что это был маленький банк не из первой сотни. ЦБ известно об этом инциденте, сказал РБК представитель регулятора: «По итогам разбора его причин до участников информационного обмена доведен соответствующий информационный бюллетень ФинЦЕРТ». По данным РБК, бюллетень был разослан в апреле 2021 года.

Как хакеры смогли похитить средства

  • «Атака началась в июне 2020 года через компрометацию аффилированной с банком компании. Предположительно, они начали с физического устройства, установленного в аффилированной сети», — говорится в отчете Group-IB.
  • Затем хакеры смогли получить доступ к сети банка — на это им понадобилось около месяца. Еще полгода они исследовали сеть с помощью программного обеспечения для хранения учетных данных проверки клиента, удаленного доступа и т.д.
  • Финальная стадия атаки началась в январе 2021 года. В результате хакеры получили доступ к системе межбанковских переводов, которые проводятся через АРМ КБР, а также смогли украсть цифровые ключи для подписания платежей, проходящих через ЦБ. Как объясняет собеседник РБК в одном из банков, при получении доступа к АРМ КБР в нем можно сформировать платежное поручение и отправить с корсчета деньги на свои счета. «[Хакеры] вручную скопировали поддельные подписанные платежи в специальную папку в системе АРМ КБР», — отмечается в отчете Group-IB.

Group-IB оценила ущерб клиентов банков от новой мошеннической схемы
Финансы
Фото:Максим Блинов / РИА Новости

Опасно ли это для других банков

CEO Group-IB Дмитрий Волков сказал РБК, что риск повторения таких атак существует, но он не так высок, как в 2017–2018 годах, когда целевые атаки на банки проводились ежемесячно. По его словам, этому способствовала большая работа в сфере кибербезопасности самих банков, регулятора и правоохранительных органов, в результате которой проводить такие атаки для злоумышленников стало невыгодно и рискованно.

У российских банков есть большой запас прочности, соглашается главный эксперт «Лаборатории Касперского» Сергей Голованов: «Сейчас каждая крупная финансовая организация обеспечена комплексной системой безопасности, учитывающей все риски предыдущих годов». Он уточнил, что похищенная сумма зависит от размеров банка: в предыдущие годы суммы покушений на хищения в одном банке могли оцениваться и в триллионы рублей.

Реальной угрозой для банковского сектора в будущем являются атаки операторов программ-шифровальщиков, говорит Волков. Они зашифровывают всю информацию на сервере, для ее разблокировки хакеры требуют выкуп. «Такие инциденты наносят прямой финансовый ущерб, парализуют работу инфраструктуры банка и его возможность вести операционную деятельность», — говорит Волков. Как следует из обзора Group-IB, за второе полугодие 2020 года и первое полугодие 2021 года было выявлено 127 атак вирусов-шифровальщиков на финансовые компании по всему миру, хотя за тот же период годом ранее их было менее 50.

Для защиты от хакерских атак банкам следует оценивать главные векторы развития потенциальной атаки, считает Волков: «Например, электронная почта, она по-прежнему требует качественной защиты, которую необходимо регулярно тестировать. Также важно контролировать внешний периметр сети и все средства удаленного доступа».

Тематический проект о российской винодельческой культуре, вине и спиртных напитках

РБК Вино РБК Вино

Главные в вине: в Москве прошел Российский винодельческий форум

РБК Вино РБК Вино

Особый стиль и внимание к деталям. Как создавали этикетки для вина в СССР

РБК Вино РБК Вино

Укрывное виноградарство: что это и как влияет на вино

РБК Вино РБК Вино

По Цельсию или по Фаренгейту? Артур Саркисян — о пользе винных рейтингов

РБК Вино РБК Вино

Эксперты рассказали, какое вино нельзя пить веганам

РБК Вино РБК Вино

Снежанна Георгиева о том, как разбираться в вине и людях

Авторы
Теги
Магазин исследований Аналитика по теме "Банки"
Прямой эфир
Ошибка воспроизведения видео. Пожалуйста, обновите ваш браузер.


 

Лента новостей
Курс евро на 14 ноября
EUR ЦБ: 104,29 (+0,04)
Инвестиции, 17:33
Курс доллара на 14 ноября
USD ЦБ: 98,37 (+0,41)
Инвестиции, 17:33
Адвокат сообщила об обмене всех женщин из «Азова»Политика, 20:59
Эксперты оценили вероятность, что «Трамп продаст Украину»Политика, 20:57
Курс биткоина продолжил обновлять максимумы. Что произошло на крипторынкеКрипто, 20:47
Microsoft предупредила о прекращении поддержки «Почты» и «Календаря»Технологии и медиа, 20:45
Ротенберг заявил, что не надеется увидеть деньги за арену в ХельсинкиСпорт, 20:41
Лавров посчитал заморозку конфликта на Украине вариантом хуже «Минска»Политика, 20:38
В Госдуме подтвердили идею ввести сбор за рекламу в интернетеТехнологии и медиа, 20:34
Здоровый сон: как легче засыпать и просыпаться
Интенсив РБК Pro поможет улучшить качество сна и восстановить режим
Подробнее
Путин обсудил с саудовским принцем нефть и арабо-израильский конфликтПолитика, 20:21
Экс-ректора РЭШ оштрафовали на ₽40 тыс. по статье для иноагентовПолитика, 20:15
На что способен американский комплекс противоракетной обороны в ПольшеПолитика, 20:13
Байден встретил Трампа словами «добро пожаловать обратно». ВидеоПолитика, 20:09
Нападение ВСУ на Курскую область. ГлавноеПолитика, 20:03
CNN узнал о планах Мелании Трамп не переезжать в Вашингтон из-за сынаПолитика, 20:02
The Times сообщила о «ядерном варианте Зеленского»Политика, 20:01