Ущерб от атак группировки Silence составил 300 млн руб

image

Теги: Group-IB, APT, социальная инженерия, финансовые организации

В июне нынешнего года злоумышленники атаковали российские банки.

Эксперты из компании Group-IB опубликовали технический отчет о преступной деятельности русскоязычной кибергруппировки Silence. По результатам исследования, Silence в период с июня 2016 года по июнь 2019 года похитила более 272 млн рублей.

Исследователи следят за активностью Silence еще с 2016 года, и в 2019 году география атак кибергруппировки стала самой обширной за все время преступной деятельности. Последствия атак затронули не только Россию, но также 30 стран Европы, Азии и СНГ. В июне нынешнего года злоумышленники атаковали российские банки, а в июле заразили системы банков в Чили, Болгарии и Гане.

Злоумышленники начали использовать новый метод для проведения более успешных атак. Сперва преступники рассылают по огромной базе адресов (до 85 тыс.) письма-пустышки без вредоносной нагрузки, что позволяет обновить базу актуальных целей, расширить географию атак и понять, какие системы кибербезопасности используются в банках. После тестовой рассылки в ход идут письма с вредоносным вложением.

Несмотря на принятые меры разработчиков программ для кибербезопасности, группировка продолжила атаки, модифицировав инструменты и создав новые. Применяемый на первом этапе кампании первичный загрузчик Silence.Downloader (или TrueBot) был кардинально переписан. В рамках атак 2019 года использовался инструмент, догружаемый основным трояном Silence.Main и основанный на публичных проектах для тестирований на проникновение Empire и dnscat2. Инструмент получил название EmpireDNSAgent (EDA). Также был обнаружен Ivoke-бэкдор — полностью бесфайловый троян. Он собирал данные о зараженной системе и загружал следующую стадию по команде от управляющего сервера. Кроме того, к инструментам группы добавлен троян для атаки через банкоматы xfs-disp.exe.

Positive Technologies проводит опрос по APT атакам. Предлагаем вам анонимно ответить на несколько вопросов: https://surveys.hotjar.com/s?siteId=1095096&surveyId=139755 .

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и Яндекс.ДзенЯндекс.Дзен, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.