Массовую рассылку электронных писем с вредоносным содержанием утром 15 ноября зафиксировала Group-IB, международная компания, специализирующаяся на предотвращении кибератак. Хакеры их проводили с фейкового адреса Банка России, копируя стиль и оформление официальных рассылок регулятора. В приложении к письмам содержался файл с инструментом-загрузчиком, которым пользуются хакеры для проникновения во внутреннюю систему банка. Group-IB называет отправителями рассылки хакерскую группировку Silence.
Эта атака не была единственной за последнее время. 23 октября, по данным Group-IB, группировка MoneyTaker отправляла похожие письма с поддельного адреса ФинЦЕРТ (это структурное подразделение департамента информационной безопасности Банка России).
Аналитики считают, что образцы документов ЦБ хакеры получили из ранее скомпрометированных почтовых ящиков сотрудников банков. В ЦБ сообщили, что знают об атаках 23 октября и 15 ноября, а все участники информационного обмена с ФинЦЕРТ предупреждены о метках компрометации. Получателями рассылки 15 ноября стали минимум 52 российских и пять зарубежных банков, отмечают в Group-IB. Пока нельзя сказать, у кого хакеры успешно "увели" деньги, но минимум в двух случаях защита была пробита, а загрузчик Silence успешно установился в банковскую инфраструктуру, рассказал руководитель отдела динамического анализа вредоносного кода Group-IB Рустам Миркасымов.
Получение 15 ноября фишинговых писем, похожих на письма ЦБ, подтвердили "РГ" в Сбербанке, банке "Открытие" и Райффайзенбанке. Схожие по структуре письма с вредоносным содержанием приходили не только от имени ЦБ, но и с доменов, похожих на другой банк средней величины, рассказал "РГ" собеседник в одном из банков топ-40. Представители всех перечисленных выше банков заявили, что ущерба и потерь от попыток атаки им удалось избежать - защитные системы заблокировали рассылку, до загрузки файла из письма дело не доходило. В банке ВТБ заявили, что пользователи почтовой системы не получали вредоносных рассылок 15 ноября. Еще в десяти крупных и средних банках либо отказались от комментариев, либо не ответили на вопросы "РГ" об атаках.
Хакерские атаки на российские банки идут постоянно, еще одна целевая атака фиксировалась 1 ноября, говорит Миркасымов. Упоминание госорганизации в подобных случаях - частая практика, причем качественно подделанное письмо бывает трудно отличить от настоящего, отмечает ведущий антивирусный эксперт "Лаборатории Касперского" Сергей Голованов. По его словам, самые крупные волны подобных атак отмечались в 2015 и 2016 году. Массовые рассылки фишинговых писем происходят часто, но уже не приносят хакерам нужных результатов - защита банков с тех пор повысилась, утверждает он.
Оба эксперта по кибербезопасности ожидают всплеска хакерских атак на банки в декабре. Это традиционное явление, характерное и для июня - июля, говорит Голованов. В сезоны праздников и отпусков многих сотрудников нет на работе и атака может долго оставаться незамеченной. Кроме того, в это время люди начинают больше тратить, что повышает шансы похитить больше денег.
С недавнего времени хакеры MoneyTaker атакуют не только системы межбанковских переводов, но и начали проводить атаки на банкоматы, предупреждает Миркасымов. Хакеры из Silence предпочитают только банкоматы и системы карточного процессинга, но обе группировки любят выводить деньги в выходные, когда банки реагируют на инциденты медленнее, отмечает эксперт. По его словам, однажды за выходные в одном из российских банков участники Silence вывели порядка 32 миллионов рублей.
Для защиты от атак банкам надо постоянно повышать киберграмотность сотрудников, говорит Голованов. Не стоит открывать вложения из писем в "подозрительных" форматах (исполняемые файлы или архивы странного типа), добавляет Миркасымов. Кроме того, банкам следует использовать более продвинутые технологии защиты от атак.
По оценкам многих экспертов, доход хакеров от атак на банки перекрыл суммарный заработок от остальных способов хищений. Ущерб финансовых организаций от целевых атак в прошлом году вырос на 300 процентов. Один из примеров: в июле 2016 года к банкомату First Bank на окраине Тайбэя подошел мужчина в маске. Он позвонил кому-то по телефону, и банкомат тут же выдал всю наличность. То же происходило у четырех десятков других банкоматов First Bank - преступники выпотрошили их на 2,2 миллиона долларов и скрылись.
Корпусы банкоматов не повреждены, накладные устройства - скиммеры - не использовались. У бандитов с собой не было даже банковских карт. Это результат так называемой логической или "бесконтактной" атаки на банкоматы. Специалисты в Интерполе, считают, что к этому причастна преступная группа Cobalt. На их счету атаки на банки в 14 странах Европы и Азии.
Подготовил Михаил Фалалеев.