Греф: хакерская группировка Carbanak совершила атаку на ПИР Банк

МОСКВА, 6 июля. /ТАСС/. Хакерскую атаку на ПИР Банк совершила группировка Carbanak, использующая для проникновения в защищенный периметр компаний одноименный вирус, сказал глава Сбербанка Герман Греф на Международном конгрессе по информационной безопасности.

"Сегодня прочитал в "Коммерсанте" - ПИР Банк лишился более 58 млн рублей со своего корсчета в Банке России, нападение провела преступная группа Carbanak", - сказал он.

Похищенные средства выводились на счета в 22 крупнейших банках и были обналичены в различных регионах страны, пишет газета "Коммерсантъ", со ссылкой на свои источники.

При этом технических деталей, в том числе, названия группировок или инструментов кибератак в статье указано не было.

По данным газеты, представители сразу нескольких кредитных организаций сообщили "Ъ", что на этой неделе была совершена первая в 2018 года хакерская атака на банк. По словам одного из собеседников, атакован ПИР Банк (329 место по активам). Другой источник газеты уточнил, что с его корсчета в ЦБ в ночь на 4 июля злоумышленники вывели более 58 млн руб.

Руководство банка не отрицает факт совершенной кибератаки. Председатель правления банка Ольга Колосова не оценивает масштабы похищенных денежных средств и уточняет, что "веерной рассылкой на пластиковые карты физических лиц в 22 банках из топ-50, большая часть денежных обналичена уже в ночь хищения".

"Вирус, которым атакован банк, не подлежит идентификации имеющимися сейчас средствами, что было подтверждено сотрудниками ФинЦЕРТ, с наибольшей вероятностью вирус проник в банк через фишинговое письмо", - отметила Колосова.

Банк был вынужден 4 и 5 июля прекратить работу, поскольку "скомпрометированы ключи" (злоумышленники фактически получили полный доступ к автоматизированному рабочему месту клиента Банка России, АРМ КБР, и могли выводить деньги с корсчета банка в ЦБ). "С 6 июля работа возобновится", - заверила она.

В ЦБ РФ также подтвердили факт атаки, отметив, что Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере ЦБ (ФинЦЕРТ) продолжает анализ ситуации, и делать какие-либо выводы пока еще рано.

Ранее зампред правления Сбербанка Станислав Кузнецов сообщил, что ущерб от кибератак в России составляет около 600-650 млрд рублей в год. В мире сумма убытков составляет почти $1 трлн.

Общемировой ущерб от атак на предприятия финансовой сферы в I квартале 2018 года превысил $83 млн. Хакеры используют системы межбанковских переводов и инфраструктуру банка, включающую в себя внутренние сети и банковское оборудование. Такие атаки происходят по причине использования банком устаревшего ПО, хранения данных в открытом виде и защиты ненадежными паролями.

О хакерской группировке

По данным Group IB, о группе Carbanak (Anunak) стало известно в 2013 году. Целью хакеров являются банки и электронные платежные системы России и постсоветского пространства. Особенностью их "почерка" является то, что мошенничество происходит внутри корпоративной сети, с использованием внутренних платежных шлюзов и банковских систем. Таким образом, денежные средства похищаются не у клиентов, а у самих банков и платежных систем.

Если доступ был получен злоумышленниками в сеть государственного предприятия, то их целью является промышленный шпионаж, указывают в компании.

Основной костяк преступной группы составляют граждане России и Украины, однако есть лица, оказывающие им поддержку из Белоруссии.

Для проведения целевых атак злоумышленники используют вредоносную программу Anunak собственной разработки.

Именно эта группа совершила первые успешные целевые атаки на банки в России. В 2013-2014 годах их жертвами стали более 50 российских банков и пять платежных систем, ущерб составил в общей сложности более 1 млрд рублей (около $25 млн).

Group IB указала, что также группировка атаковала POS-терминалы американских и европейских ретейл-сетей и активно вовлекала новых людей в атаки и делилась опытом. Carbanak имеет целый ряд последователей, копирующих их тактику.

Начиная с 2015 года, хакеры из Carbanak не совершили ни одного успешного хищения на территории России, но их троян еще используется для атак на компании за пределами СНГ.