Хакерская атака на банк

Хакерская атака на банк

В 2018 г. FinCERT Банка России (центр мониторинга и реагирования на компьютерные атаки) получил сведения о 687 кибератаках на банки, говорится в отчете организации. Из них 177 атак были целевыми атаками на кредитно-финансовые организации ради финансовой выгоды.

Также FinCERT насчитал 97 DDoS-атак на финансовые организации.

В прошлом году FinCERT зафиксировал 375 кампаний по распространению вредоносного ПО, из которых 71 была нацелена на кредитно-финансовые организации и их клиентов.

Множество таких атак на банки организация приписывает двум хакерским группировкам: Cobalt (также известна как Carbanak и FIN7) и Silence. По данным FinCERT, Cobalt нанесла ущерб российской финансовой сфере минимум на 44 млн руб., а Silence – на 14,4 млн руб. Впрочем, это во много раз меньше, чем в 2017 г., отмечается в отчете. В 2017 г. ущерб от атак с использованием программ Cobalt Strike превысил 1 млрд руб.

Количество кибератак в России удвоилось

Несмотря на арест в марте 2018 г. в Испании одного из лидеров Cobalt и задержание в Европе еще нескольких ее членов, группа свою деятельность не прекратила, а лишь снизила активность на некоторое время, говорится в отчете.

Также FinCERT выявил более 540 ресурсов в интернете, которые распространяют вирусное ПО или управляют серверами, отвечающими за использование вредоносного софта. Более 500 подобных ресурсов зарегистрированы за пределами России. Эти доменные зоны неподконтрольны FinCERT, что затрудняет возможность остановить их деятельность, отмечается в докладе. Сейчас прорабатывается законопроект, который позволит Банку России блокировать такие ресурсы до суда на территории России вне зависимости от географической привязки доменного имени.

В 2018 г. стало больше наиболее опасных атак на финансовые организации стран СНГ, отмечает FinCERT. Хотя атаки, как и раньше, нацелены на процессинг банковских карт – хакеры пытаются добраться до системы управления процессингом, чтобы скрытно увеличить балансы и лимиты карт, а затем вывести деньги через банкоматы. Все еще распространены атаки на устройства самообслуживания. Однако скимминг и шимминг (использование устройств, которые устанавливаются на банкомат для считывания данных карт) становятся менее распространены, но сохраняют популярность blackbox-атаки на банкоматы – используются специальные устройства, которые позволяют управлять банкоматом.

FinCERT также приводит наблюдения компаний в области кибербезопаности. Так, например, эксперты лаборатории компьютерной криминалистики Group-IB пришли к выводу, что в 2018 г. на финансовый сектор пришлось около 70% всей хакерской активности. При этом 74% банков были не готовы к атакам, отмечает Group-IB: более чем у половины банков были выявлены следы совершения атак в прошлом, они не смогли централизованно управлять сетью для локализации атаки, а также тратили на согласование работ по ликвидации атаки более четырех часов.

Эксперты Group-IB также проанализировали атаки на клиентов банков: более 80% случаев похищения у них денег происходит с использованием методов социальной инженерии. Мошенники звонят жертвам и представляются сотрудниками банка, предлагая услуги, или представителями службы безопасности, которая якобы обнаружила подозрительную активность. В 2018 г. банки ежемесячно сталкивались в среднем с 3000 атак с использованием таких методов.

Читайте также:  Эндоскоп для андроид обзор

За прошлый год мошенникам удалось похитить почти в 1,5 раза больше денег с карт россиян – 1,4 млрд руб., по данным ЦБ, это на 44% больше, чем годом ранее. До этого улов мошенников снижался три года подряд. Большинство случаев хищения денег связано с социальной инженерией, говорилось в отчете FinCERT за 2018 г.

Xakep #251. Укрепляем VeraCrypt

Group-IB зафиксировала массовые вредоносные рассылки по российским финансовым учреждениям якобы от имени Центрального Банка России и ФинЦЕРТ, структуры Департамента информационной безопасности ЦБ. Исследователи установили, что атаку 15 ноября 2018 года могла провести хакерская группа Silence, а 23 октября 2018 года — MoneyTaker. Обе преступных группы включены Group-IB в число наиболее опасных для российских и международных финансовых организаций.

Получателями рассылки от 15 ноября стали не менее 52 банков в России и не менее 5 банков за рубежом. Цифры основаны на статистике, собранной системами Group-IB TDS. Но, основываясь на данных по предыдущим атакам, можно подсчитать, что атака велась, скорее всего, по более чем 100 организациям.

Атака в ноябре: Silence

Утром 15 ноября Group-IB зафиксировала массовую вредоносную рассылку по российским банкам с фейкового адреса Центрального банка России. Разумеется, сам ЦБ не имеет к рассылке никакого отношения — злоумышленники подделали адрес отправителя. SSL-сертификаты для прохождения проверки DKIM не использовались.

Письма с темой «Информация центрального банка Российской Федерации» предлагали получателям ознакомиться с постановлением регулятора «Об унифицировании формата электронных банковских сообщений ЦБ РФ» и незамедлительно приступить к исполнению «приказа». Документы якобы размещались во вложенном архиве, распаковав который пользователь в итоге загружал Silence.Downloader —инструмент, который используют хакеры Silence.

Эксперты отметили, что стиль и оформление письма практически идентичны официальным рассылкам регулятора. Скорее всего, хакеры имели доступ к образцам подлинных сообщений. Напомним, что согласно данным отчета Group-IB, выпущенного в сентябре этого года, участниками Silence являются люди, предположительно занимавшиеся или занимающиеся легальной работой — пентестами и реверс-инжинирингом. Именно поэтому они хорошо знакомы с документооборотом в финансовом секторе и работой банковских систем.

Атака в октябре: MoneyTaker

Письмо, отправленное 23 октября также с поддельного адреса ФинЦЕРТ, содержало пять вложений стилизованных под официальные документы ЦБ. Среди них: «Типовая форма соглашения о взаимодействии Центрального банка Российской Федерации по вопросам мониторинга и обмена.doc». Три файла из пяти являлись пустышками-приманками, а два других содержали загрузчик Meterpreter Stager. Для управления этой атакой использовались самоподписанные SSL-сертификаты. Кроме того, серверная инфраструктура, задействованная в ней, неоднократно использовалась с предыдущих атаках хакерами MoneyTaker. Все это позволило предположить, что за октябрьской атакой якобы от имени ЦБ стоят именно они.

Аналитики Group-IB считают, что образцы документов ЦБ хакеры получили из ранее скомпрометированных почтовых ящиков сотрудников российских банков. Полученная информация используется MoneyTaker для проведения целевых атак на банки, в том числе при формировании писем, которые копируют документы регулятора.

Фишинговая рассылка, сделанная от имени ЦБ — довольно распространенный среди киберпреступников вектор атаки, им пользовались группы Buhtrap, Anunak, Cobalt, Lurk. Например, в марте 2016 года злоумышленники рассылали фишинговые письма с info@fincert.net. Что касается реальных оповещений от имени ЦБ России, ранее для доставки вредоносных программ сотрудникам банков их использовали хакеры из Lurk и Buhtrap.

«Начиная с июля ФинЦЕРТ использует для информационного обмена автоматизированную систему обработки инцидентов, которая позволяет осуществлять защищенный и оперативный обмен информацией об инцидентах и операциях, совершенных без согласия клиента на основе базы данных “Фид-Антифрод”, — сообщили в пресс-службе Банка России. — Резервным каналом доставки информации является канал электронной почты. Все сообщения, отправляемые посредством электронной почты, подписаны ЭЦП ФинЦЕРТ».

Информация и индикаторы атаки от 23 октября и 15 ноября были оперативно загружены в систему Threat Intelligence, что позволило предупредить клиентов Group-IB из числа российских банков о потенциальной угрозе.

«MoneyTaker и Silence являются двумя из четырех наиболее опасных хакерских группировок, которые представляют реальную угрозу для международных финансовых организаций, — отмечает Рустам Миркасымов, руководитель отдела динамического анализа вредоносного кода, эксперт по киберразведке Group-IB. — Хакеры из MoneyTaker используют все возможные векторы атак на банки: они могут, например, отправить фишинговое письмо, провести drive by атаку или тестирование сетевой инфраструктуры банка на наличие уязвимостей. А уже после получения доступа к внутренним узлам сети хакеры легко проводят атаки и вывод денег через карточный процессинг или систему межбанковских переводов (в России — АРМ КБР, автоматизированное рабочее место клиента Банка России). Silence в свою очередь менее изобретательны и пользуются только безотказным и проверенным способом атаки — фишинговыми письмами. Но, в отличие от своих коллег, уделяют больше внимания содержанию и оформлению текста писем».

О Silence

Читайте также:  Распознавание песни по музыке

Silence – активная и крайне малочисленная хакерская группа, состоящая из русскоговорящих хакеров. Впервые активность группы была зафиксирована специалистами Group-IB в 2016 году. За все время «работы» Silence они атаковали системы управления банкоматами, карточный процессинг и российскую систему межбанковских переводов АРМ КБР. Основные цели преступников находятся в России, Украине, Белоруссии, Азербайджане, Польше, Казахстане, хотя фишинговые письма отправлялись также сотрудникам банков Центральной и Западной Европы, Африки и Азии. Месяц назад Group-IB зафиксировали точечную атаку на компании в Великобритании. Отчет «Silence: новая угроза для банков» был выпущен в сентябре 2018 года, в нем впервые описывается тактика и инструментов группы.

О MoneyTaker

MoneyTaker — преступная хакерская группа, на счету которой 16 атак в США, 5 – на банки России и 1 – в Великобритании. Кроме денег, злоумышленники похищают документацию о системах межбанковских платежей, необходимую для подготовки дальнейших атак, а также используют метод атаки через посредника, то есть взламывают партнеров банков, ИТ-компании, поставщиков финансовых продуктов. В декабре 2017 года Group-IB опубликовала первый отчет об этой группе: «MoneyTaker: полтора года ниже радаров».

Хакеры из группы Silence разослали 15 ноября российским банкам письма с вредоносным программным обеспечением от имени Центрального банка России. Об этом заявили в международной компании Group-IB, специализирующейся на предотвращении кибератак.

По информации компании, в письмо с заголовком "Информация центрального банка Российской Федерации" предлагалось ознакомиться с постановлением "Об унифицировании формата электронных банковских сообщений ЦБ РФ" и незамедлительно приступить к исполнению "приказа". Для этого нужно было скачать и распаковать архив Silence.Downloader, где и содержался вирус.

"Стиль и оформление письма практически идентичны официальным рассылкам регулятора. Скорее всего, хакеры имели доступ к образцам подлинных сообщений", — рассказали в Group-IB.

Читайте также:  Ошибка сервера фракции были отключены необходимые настройки

Эксперты пояснили, что для этого злоумышленники могли взломать почтовые ящики сотрудников банка или провели тестирование безопасности компьютерных систем с помощью моделирования хакерской атаки.

Получателями рассылки от 15 ноября стали не менее 52 банков в России и не менее 5 банков за рубежом. Но, основываясь на данных по предыдущим атакам, можно предположить, что были атакованы более 100 организаций. Как минимум три банка из атакованных входят в топ-30, отмечает The Bell.

Эксперты считают, что участниками Silence являются люди, предположительно занимавшиеся или занимающиеся легальной работой — пентестами и реверс-инжинирингом. Именно поэтому они хорошо знакомы с документооборотом в финансовом секторе и работой банковских систем.

Впервые Silence зафиксировали в 2016 году. Хакеры этой группы атакуют цели в России, на Украине, в Белоруссии, Азербайджане, Польше и Казахстане, пишет "Новая газета". В основном хакеры искали бреши в системе управления банкоматов, карточном процессинге и российской системе межбанковских переводов АРМ КБР.

Ранее сообщалось, что Silence удалось похитить 52 млн рублей только из российских банков.

В "Лаборатории Касперского" "Интерфаксу" сообщили, что тоже зафиксировали фишинговую рассылку, маскирующуюся под ЦБ, 15 ноября. Ведущий антивирусный эксперт "Лаборатории Касперского" Сергей Голованов передал через пресс-службу, что эта рассылка стала частью целевой атаки The Silence, впервые зафиксированной в октябре 2017 года.

Сколько банков попались на удочку хакеров — непонятно. ЦБ утверждает, что банки были предупреждены, но у Group-IB есть информация по крайней мере о двух случаях, когда сотрудники банков открывали письма с вредоносными программами.

В дальнейшем злоумышленники могут вывести деньги через банкоматы зараженного банка, отправив деньги на свои карты, или через систему межбанковских переводов, говорит Рустам Миркасымов, эксперт по кибербезопасности Group-IB. Причем это происходит не сразу, а через несколько недель или месяцев.

Еще одна хакерская атака аналогичного типа была проведена 23 октября с поддельного адреса ФинЦЕРТ (структура Департамента информационной безопасности ЦБ). Рассылка содержала пять вложений, стилизованных под официальные документы ЦБ. Среди них: "Типовая форма соглашения о взаимодействии Центрального банка Российской Федерации по вопросам мониторинга и обмена.doc". Три файла из пяти являлись пустышками-приманками, а два других содержали загрузчик Meterpreter Stager.Для управления этой атакой использовались самоподписанные SSL-сертификаты.

К этой атаке имеет отношение хакерская группа MoneyTaker. Серверная инфраструктура, задействованная злоумышленниками, ранее неоднократно использовалась MoneyTaker.

Аналитики считают, что образцы документов ЦБ хакеры получили из ранее скомпрометированных почтовых ящиков сотрудников российских банков.

Ссылка на основную публикацию
Фум лента в стоматологии фото
Автор: G. Freedman Перевод: Александр Зыбайло Автор: G. Freedman Перевод: Александр Зыбайло Ограничение количества цемента для фиксации и использование определенной...
Усики для автомобильной антенны
Убираясь в бардачке я наткнулся на ремкомплект антенных усиков — лежит наверно уже полгода, всё наклеить не могу, то забываю,...
Усиление сигнала интернета на даче своими руками
С наступление дачного сезона, я озадачился установкой хорошего скоростного интернет на даче, у нас голосовая связь работает без проблем, а...
Функции жесткого диска в компьютере
Жесткий диск, он же винчестер, является основным местом, где хранится вся информация. В отличие от оперативной памяти, он энергетически независим,...
Adblock detector