Сооснователь Group-IB рассказал о совершивших кибератаку на банки России
Новую целевую кибератаку на российские банки под названием Silence («Тишина») совершила «русскоговорящая преступная группа MoneyTaker». Об этом РБК рассказал руководитель отдела расследований и сервиса киберразведки Threat Intelligence и сооснователь Group-IB Дмитрий Волков.
«Мы рассказали своим клиентам сервиса Intelligence еще в прошлом году», — отметил он. По его словам, MoneyTaker специализируется на целевых атаках на финансовые организации по всему миру, группа сосредоточила свои усилия на небольших североамериканских банках.
«Один из банков они ограбили дважды. Атаки проводятся сезонно, и их основной целью в разных странах являются разные системы», — рассказал Волков. «Так, в прошлом году в России их интересовали АРМ КБР (автоматизированное рабочее место клиента Банка России. — РБК). Сейчас они сменили свой фокус на карточный процессинг, поскольку можно сравнительно легко и безопасно похищать значительные суммы», — уточнил он. Сооснователь Group-IB отметил, что этот метод испытан в России, СНГ и США. «В США они также ориентированы прежде всего на карточный процессинг, но при этом уделяют внимание и SWIFT», — добавил он.
По его словам, сегодня все преступные группы, атаковавшие российские банки, постепенно переключили свое внимание на другие страны и регионы, речь идет о США, Европе, Латинской Америке, Азии и Ближнем Востоке. «Впрочем, атаки на финансовые учреждения в России все еще случаются», — добавил Волков. «Второй год подряд эта группа активизируется по отношению к российским банкам с наступлением осени», — заключил он.
Ранее 31 октября «Лаборатория Касперского» сообщила о новой целевой кибератаке на российские банки под названием Silence. По информации компании, первая волна этой атаки началась в июле, однако продолжается и сейчас. Она представляет собой «опасную тенденцию», потому что использует легитимные администраторские инструменты, для того чтобы оставаться незамеченной.
В компании считают, что активность хакерской группы растет, поскольку Silence зафиксировали уже в нескольких странах. Под ударом также оказались банки Армении и Малайзии. В «Лаборатории Касперского» рассказали, что злоумышленники рассылают фишинговые письма, они используют инфраструктуру зараженных учреждений.
«Они отправляют сообщения от имени настоящих сотрудников, что позволяет им практически не вызывать подозрений», — уточнили в компании. В письмах содержатся зараженные вложения формата .chm. При открытии вложения компьютер пользователя заражается сразу несколькими модулями троянца. Их главная цель — собрать данные об устройстве и отправить ее управляющему серверу. Модули вредоносного программного обеспечения маскируются под службы Windows, предупредили в «Лаборатории Касперского».
В итоге, по информации компании, злоумышленники получают возможность изучать инфраструктуру банка и следить за рабочей активностью его сотрудников, а в дальнейшем красть или переводить средства.