ВЕСТИ

Прямой Эфир

    Прогнозы

      Group-IB: на российские банки совершена первая за год массовая кибератака

      Москва, 18 января - "Вести.Экономика" Group-IB, международная компания, специализирующаяся на предотвращении кибератак, сегодня сообщила о масштабной волне вредоносных рассылок группы Silence в России. С начала года это самая крупная атака, насчитывающая более 80 тыс. получателей — сотрудников российских кредитно-финансовых организаций, среди которых основную долю занимают банки и крупные платежные системы.

      Массовая атака началась с фишинговых рассылок Silence 16 января. Впервые в практике Silence вредоносное вложение было замаскировано под приглашение на iFin-2019. Интересно, что XIX Международный форум iFin-2019 "Электронные финансовые услуги и технологии", действительно, пройдет в Москве 19 и 20 февраля, о чем организаторы мероприятия сделали рассылку около 9 утра по Москве 16 января. Через несколько часов свое "приглашение" отправили Silence. Фальшивая рассылка велась от имени "Forum iFin-2019", но с адреса info@bankuco[.]com. Текстовые совпадения указывают на то, что в своем письме злоумышленники использовали официальный анонс-приглашение, но отредактировали его.

      "Заполните анкету в приложенном архиве и перешлите нам. Вы получите два бесплатных пригласительных и название Вашего банка будет размещено на официальном портале форума", — говорится в не слишком грамотном письме Silence. В аттаче к посланию был прикреплен ZIP-архив, внутри которого приглашение на банковский форум и вредоносное вложение Silence.Downloader aka TrueBot — инструмент, который используют только хакеры Silence.

      Практика маскировки злоумышленниками вредоносных программ под официальные приглашения широко распространена у прогосударственных хакерских группировок (APT), которые специализируются на шпионаже: они направляют в военные ведомства, посольства, министерства и СМИ "приглашения" на конференции НАТО, ООН или ЕС, внутри которых скрыты вредоносные программы, цель которых шпионить за получателем.

      Вскрытие покажет

      В январской фишинговой рассылке был использован реальный анонс финансового форума, это еще раз подтверждает версию о том, что участниками Silence, одной из самых малочисленных и слабоизученных хакерских групп, являются люди, предположительно, занимавшиеся или занимающиеся легальной работой, в том числе пентестами и реверс-инжинирингом в финансовом секторе.

      В пользу этой версии говорит и другой факт: в рамках январской кампании специалисты Group-IB обнаружили еще две фишинговые рассылки, нацеленные на российские банки, якобы от имени начальников отделов межбанковских операций несуществующих банков — ЗАО "Банк ICA" и ЗАО "Банкуралпром". Отправители обращались в банки с просьбой оперативно рассмотреть вопрос по открытию и обслуживанию корреспондентских счетов их организаций. Во вложении содержался архив с договором, при распаковке которого на компьютер пользователя загружалась все та же вредоносная программа Silence.Downloader.

      Как показал анализ текста письма, хакеры Silence не застрахованы от ошибок — в письме от имени ЗАО "Банкуралпром" в подписи значится другой несуществующий банк ЗАО "БанкЮКО". Проверка по указанным адресам (Челябинская область, город Магнитогорск, ул Гагарина, д.17 и д. 25) показала, что здесь расположен офис другой кредитно-финансовой организации и жилой дом.

      Предновогодний фишинг

      Опыт Group-IB показывает, что киберпреступники активно атакуют финансовые организации в период с 25 декабря по 14 января. Накануне новогодних праздников на счетах банков, как правило, аккумулируется большое количество денежных средств. Банковские работники уже не столь бдительны. Многие из них, не исключая службу безопасности, уходят в отпуск. Этим пользуются злоумышленники.

      В период с 25 по 27 декабря Group-IB зафиксировала вредоносные рассылки Silence по финансовым учреждениям. На этот раз применялась новая схема с использованием социальной инженерии. Преступники разослали письма якобы от реально существующей фармацевтической компании, сотрудник которой обращался в банк с просьбой открыть корпоративный счет и зарплатный проект. Хакеры Silence, представляясь "соучредителем" фармкомпании, детально описывали филиальную структуру, указывали количество сотрудников и торопили со сменой партнера по зарплатному проекту. Более того, в письмо якобы был вложен "дизайн-макет", чтоб сделать брендированные банковские карты для персонала.

      Подобное "готовое" предложение от клиента — весьма аппетитная наживка для банка. Вероятность того, что банковские сотрудники, получившие подобное предложение, откроют аттач, высока. Однако в результате распаковки архива произойдет загрузка лоадера, а потом и основного модуля Silence на машину жертвы.

      "Вредоносная активность декабрьской и январской кампаний была зафиксирована Group-IB Threat Detection System в российских банках и была заблокирована, — комментирует Рустам Миркасымов, руководитель отдела динамического анализа вредоносного кода, эксперт по киберразведке Group-IB. — Об индикаторах атаки, а также способах защиты были оперативно оповещены все клиенты Group-IB. Очевидно, что масштаб действий Silence увеличивается: мы наблюдаем рост атак не только по России, но и активные действия в отношении европейских и ближневосточных финансовых компаний. Что примечательно, мы фиксируем изменения в работе группы, которые начали появляться спустя некоторое время после выпуска технического отчета Group-IB, описывающего тактику действий хакеров и детали атак. На данный момент Silence – одна из самых опасных русскоязычных групп, фактически стоящая в одном ряду с Cobalt и MoneyTaker".

      Напомним, что Silence часто эксплуатируют банковскую тематику: в ноябре хакеры отправляли массовую вредоносную рассылку по российским банкам с фейкового адреса Центрального банка России. Разумеется, сам ЦБ не имеет к рассылке никакого отношения — злоумышленники подделали адрес отправителя.

      Стиль и оформление письма практически идентичны официальным рассылкам регулятора: письма с темой "Информация центрального банка Российской Федерации" предлагали получателям ознакомиться с постановлением регулятора "Об унифицировании формата электронных банковских сообщений ЦБ РФ" и незамедлительно приступить к исполнению "приказа". Однако в архиве письма также содержалась вредоносная программа. Получателями ноябрьской рассылки, по данным Group-IB, оказались как минимум 52 банка в России и 5 банков за рубежом.
      

      Новости партнеров

      Тест. Вторая мировая война. Знаете ли вы ее предысторию?

      1 сентября 1939 года, ровно 80 лет назад, началась Вторая мировая война. Сегодня исторический ревизионизм набирает обороты. Россию все чаще не зовут на торжественные мероприятия, в честь каких либо памятных дат, связанных с войной.

      Форма обратной связи

      Отправить

      Форма обратной связи

      Отправить