15 ноября 2018, 18:03,
обновлено 15 ноября 2018, 18:41

Эксперты зафиксировали атаку хакерской группы Silence на российские банки от лица ЦБ

Руслан Шамуков/ ТАСС
Согласно данным Group-IB, эта атака произошла 15 ноября, а 23 октября была проведена атака со стороны группы MoneyTaker

МОСКВА, 15 ноября. /ТАСС/. Компания Group-IB, которая занимается расследованием и предотвращением киберпреступлений, зафиксировала в четверг массовую фишинговую рассылку в отношении российских банков. Злоумышленники действовали от лица Центрального банка РФ и Центра мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере Банка России (ФинЦЕРТ), говорится в сообщении компании.

Согласно данным Group-IB, атаки проводились двумя хакерскими группами: 15 ноября атака могла быть проведена группой Silence, а 23 октября - MoneyTaker. При этом в пресс-службе Group-IB уточнили ТАСС, что несколько атакованных банков входят в топ-30 российских финансовых организаций. "Получателями писем были не менее 52 банков в России и не менее пяти банков за рубежом. К сожалению, точно установить всех получателей на данный момент нельзя. Цифры основаны на статистике, собранной системами Group-IB TDS. Но, основываясь на данных по предыдущим атакам, атака велась, скорее всего, по более чем 100 организациям", - добавил представитель компании.

Несмотря на атаки, вся информация атак была загружены в систему Group-IB, чтобы предупредить клиентов компании среди кредитных организаций о потенциальной угрозе, подчеркивается в сообщении.

Согласно данным Group-IB, 15 ноября кредитные организации получили письмо якобы от ЦБ РФ, где им предлагалось ознакомиться постановлением регулятора "Об унифицировании формата электронных банковских сообщений ЦБ РФ" и приступить к его исполнению. В свою очередь, документы размещались во вложенном архиве, при загрузке которого пользователи скачивали инструмент, используемый группировкой группы Silence. "Стиль и оформление письма практически идентичны официальным рассылкам регулятора. Скорее всего, хакеры имели доступ к образцам подлинных сообщений", - считают в компании.

Кроме того, 23 октября фишинговая рассылка от хакерской группы MoneyTaker также была стилизована под официальные документы ЦБ РФ. "Образцы документов ЦБ хакеры получили из ранее скомпрометированных почтовых ящиков сотрудников российских банков. Полученная информация используется MoneyTaker для проведения целевых атак на банки, в том числе при формировании писем, которые копируют документы регулятора", - указывают эксперты.

"Начиная с июля ФинЦЕРТ использует для информационного обмена автоматизированную систему обработки инцидентов, которая позволяет осуществлять защищенный и оперативный обмен информацией об инцидентах и операциях, совершенных без согласия клиента на основе базы данных "Фид-Антифрод". Резервным каналом доставки информации является канал электронной почты. Все сообщения, отправляемые посредством электронной почты, подписаны ЭЦП ФинЦЕРТ", - сообщили ТАСС в пресс-службе ЦБ РФ.

В "Лаборатории Касперского" также подтвердили информацию о массовой рассылке писем от лица ЦБ РФ. "Сегодня действительно была зафиксирована фишинговая рассылка, маскирующаяся под уведомления от имени Банка России. Упоминание государственной организации в подобных случаях - очень распространенная практика. Важно понимать, что настоящие ресурсы регулятора не были затронуты и остаются под защитой, фальшивые письма обычно только повторяют дизайн и стиль текста", - указали ТАСС в пресс- службе компании, заметив, что рассылка стала частью целевой атаки группы Silence.

Характеристика атак

Согласно данным Group-IB, 15 ноября кредитные организации получили письмо якобы от ЦБ РФ, где им предлагалось ознакомиться постановлением регулятора "Об унифицировании формата электронных банковских сообщений ЦБ РФ" и приступить к его исполнению. В свою очередь, документы размещались во вложенном архиве, при загрузке которого пользователи скачивали инструмент, используемый группировкой группы Silence. "Стиль и оформление письма практически идентичны официальным рассылкам регулятора. Скорее всего, хакеры имели доступ к образцам подлинных сообщений", - считают в компании.

Кроме того, 23 октября фишинговая рассылка от хакерской группы MoneyTaker также была стилизована под официальные документы ЦБ РФ. "Образцы документов ЦБ хакеры получили из ранее скомпрометированных почтовых ящиков сотрудников российских банков. Полученная информация используется MoneyTaker для проведения целевых атак на банки, в том числе при формировании писем, которые копируют документы регулятора", - указывают эксперты. 

Теги:
Россия