Замаскированные под сотрудников ЦБ хакеры атаковали российские банки

Согласно отчету компании Group-IB, специализирующейся на расследовании киберпреступлений, за шесть месяцев (с августа 2015 по февраль 2016 гг.) российские банки лишились 1,8 млрд рублей в результате деятельности группировки Buhtrap. За указанный период злоумышленники осуществили 13 успешных атак.

Buhtrap – первая преступная группа, начавшая применять сетевого червя для поражения всей инфраструктуры целевого банка. Группировка действует с 2014 года, однако осуществлять атаки на банки начала только в августе 2015 года.

В ходе атак злоумышленники рассылали письма якобы от Центробанка России. Первая рассылка была зафиксирована 22 октября прошлого года. Тогда многие финучреждения получили электронные сообщения с почтового ящика support@cbr.ru.com , содержащие документ MS Office. Открытие файла приводило к запуску трояна-загрузчика, проверявшего в истории браузеров ссылки, связанные с online-банкингом и банковским ПО. В случае нахождения ссылок на компьютер загружался и устанавливался вредонос Buhtrap, неопределяемый как вредоносное ПО большинством антивирусных решений, указывается в отчете Group-IB.

В январе нынешнего года злоумышленники запустили вторую рассылку с предложением о работе от имени Банка России. Письма приходили с ящика vakansiya@cbr.ru.net (видоизмененный домен ЦБ) с темой «Вакансия в Центральном банке». Как и в первом случае, сообщения содержали вредоносный документ MS Office.

Во вторник, 15 марта, банки Российской Федерации подверглись очередной целевой атаке. Хакеры атаковали при помощи рассылки вредоносных писем на электронные адреса сотрудников десятков финучреждений, сообщается в блоге «Лаборатории Касперского».

Впервые преступники выдавали себя за FinCERT - Центр по борьбе с киберугрозами. Злоумышленники зарегистрировали два доменных имени - fincert.net и view-atdmt.com, использовавшихся для проведения атаки. В полдень хакеры начали отправку писем по специально подготовленной контактной базе. Каждое сообщение начиналось с обращения по ФИО к сотруднику банка.

Распространение происходило с info@fincert.net , похожего на настоящий адрес центра мониторинга. Письма были инструкцией по запуску вложенного макроса. Данный алгоритм был единственным вредоносным элементом в атаке. При запуске макроса происходила попытка соединения с удаленным ресурсом для загрузки определенного элемента с легальной цифровой подписью компании, зарегистрированной в Москве. Такая организация действительно существует, но занимается исключительно перевозкой грузов. Неизвестно, для чего компания купила в CA COMODO цифровой сертификат для подписи исполняемых файлов. Загруженный файл дает возможность получить доступ к информационной системе финансовой организации.

Данный инцидент не уникален, но привлекает внимание маскировкой хакеров под FinCert. Остается неизвестным, откуда у злоумышленников база почтовых адресов и ФИО сотрудников сотен российских банков.

• 600 млн рублей – максимальный размер хищения у российского банка (2016 г.);

• 25,6 млн рублей – минимальная сумма хищения у российского банка (2015 год);

• 143 млн рублей – средняя сумма успешного хищения у банка;

• 1 млрд рублей – сумма хищений по состоянию на январь 2016 года.