Эксперты зафиксировали атаку хакеров с поддельных ящиков госкомпаний
Злоумышленники по меньшей мере с 11 сентября рассылали в российские банки письма с поддельных e-mail-адресов государственных учреждений. В письмах содержался троян RTM для кражи денег из сервисов дистанционного банковского обслуживания и платежных систем, говорится в сообщении компании в области кибербезопасности Group IB, поступившем в РБК.
Адресатами писем были не только банки, но и промышленные и транспортные компании. За четыре месяца хакеры отправили около 11 тыс. сообщений, большая часть из них пришлась на ноябрь, меньшая — на декабрь.
Авторы писем выдавали себя за региональные управления Министерства труда, Роспотребнадзора, Россельхознадзора, ФСИН и другие государственные учреждения. В качестве тем писем указывалось: «Копии документов», «Служебная записка» и т.п. К каждому письму прилагался архив с трояном.
«Схема хищения простая: RTM скачивает и запускает средства удаленного управления компьютером, после чего создается платежное поручение и отправляется в систему ДБО либо через зараженный компьютер, либо с компьютера злоумышленника», — говорится в сообщении.
По оценке Group IB, в среднем атака на одно юридическое лицо приносила хакерам более 1 млн руб.
О вредоносных письмах в российские банки Group IB сообщала и 15 ноября. Тогда указывалась, что послания под видом официальных сообщений ЦБ получило около 50 банков, а также несколько финансовых учреждений за рубежом.
По данным «Лаборатории Касперского», вирус использовала группировка The Silence, в которую входят русскоязычные хакеры. Она и ранее занималась нападениями на банки в России, на Украине, в Белоруссии, Азербайджане, Польше, Казахстане и Великобритании, а также на системы управления банкоматами, карточный процессинг и российскую систему межбанковских переводов АРМ КБР.
В конце октября атаку на российские банки провела еще одна группировка хакеров — MoneyTaker. В ходе этой атаки с поддельного адреса «ФинЦЕРТ», структуры департамента информационной безопасности ЦБ, также были разосланы письма с опасными вложениями, замаскированными под соглашение о взаимодействии с ЦБ по вопросам мониторинга.
Накануне стало известно о нападении на восемь банков в Восточной Европе киберпреступников, использующих вирус DarkVishnya. По данным специалистов «Лаборатории Касперского», они понесли ущерб в размере нескольких десятков миллионов долларов. В этом случае хакеры применяли гаджеты с установленным вредоносным ПО. Эти устройства внедряли в здания банков или физически подключали к корпоративным сетям.
Читайте РБК в Telegram! Самые важные новости, только проверенная информация.
Маск рассказал, что создал SpaceX ради встречи с инопланетянами
Вэнс призвал Трампа к диалогу с Ираном на фоне угроз ударов
Берлин усомнился в готовности США атаковать Гренландию
Наследник шаха Ирана призвал Трампа вмешаться, «чтобы режим рухнул»
The Guardian рассказала об уловке Китая для давления на Европу по Тайваню
Бывший посол Китая назвал главного демона Европы
