Кража со счета ЦБ
Хакерская группировка MoneyTaker украла с корреспондентского счета ЦБ более полумиллиарда руб. Успешная атака состоялась в начале 2021 г. через автоматизированное рабочее место клиента Банка России (АРМ КБР), говорится в отчете компании Group-IB об угрозах безопасности финансового сектора «Большой куш: угрозы для финансовых организаций».
«Очевидно, что злоумышленники на этом не остановятся и будут продолжать атаковать АРМ КБР», - говорится в отчете. В 2018 г. MoneyTaker по той же схеме украл со счета ПИР Банка более 58 млн руб.
При этом название банка и сумма похищенных средств в отчете Group-IB не называется. Однако, по словам источников РБК, хакеры украли более полумиллиарда руб. Также они сообщили, что пострадал действующий «не очень крупный банк» даже не из первой сотни. В ЦБ знают о случившемся. По итогам разбора инцидента Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере довел информацию до участников информационного обмена.
Как это произошло
В отчете говорится, что хакерская атака началась еще в июне 2020 г. через компрометацию аффилированной с банком компании. Предположительно, хакеры взломали физическое устройство, установленное в компании. Затем они получили доступ к сети банка (на что хакерам потребовалось около месяца). Последующие полгода были потрачены на исследование сети банка с помощью ПО для хранения учетных данных проверки клиента, удаленного доступа и т.д.
Со счета ЦБ украли более полумиллиарда рублейЗавершающая стадия атаки началась в январе 2021 г., следует из данных Group-IB. Хакеры смогли получить доступ к системе межбанковских переводов, которые проводятся через АРМ КБР. В том числе, они украли цифровые ключи для подписания платежей, проходящих через ЦБ. Как поясняет собеседник РБК, в АРМ КБР можно сформировать платежное поручение и отправить с корсчета деньги на свои счета. И затем хакеры вручную скопировали поддельные подписанные платежи в специальную папку в системе АРМ КБР.
Что угрожает банкам
Не смотря на то, что риск повторения подобных атак существует, он не так высок, рассказал РБК исполнительный директор Group-IB Дмитрий Волков. Он отметил, что целевые атаки на банки в 2017-2018 гг. проводились ежемесячно. Снижению их числа к настоящему времени поспособствовала большая работа в сфере кибербезопасности самих банков, регулятора и правоохранительных органов. В результате проводить такие атаки для злоумышленников стало невыгодно и рискованно, говорит Волков.
Реальной угрозой для банковского сектора в будущем являются атаки операторов программ-шифровальщиков, говорит Волков. Они зашифровывают всю информацию на сервере, для ее разблокировки хакеры требуют выкуп. «Такие инциденты наносят прямой финансовый ущерб, парализуют работу инфраструктуры банка и его возможность вести операционную деятельность», - говорит Волков. Как следует из обзора Group-IB, за второе полугодие 2020 г. и первое полугодие 2021 г. было выявлено 127 атак вирусов-шифровальщиков на финансовые компании по всему миру, хотя за тот же период годом ранее их было менее 50.
Кристина Холупова
Поделиться Подписаться на новости Короткая ссылкаНажимая кнопку «Подписаться», вы даете свое согласие на обработку и хранение персональных данных.