Борцы с киберпреступностью обнаружили хакерскую группировку, на счету которой не менее двух десятков успешных атак на финансовые учреждения России, США и Великобритании. На протяжении полутора лет злоумышленникам удавалось скрывать преступную деятельность. Предположительно, хакеры являются русскоговорящими и пока им удается скрываться. Эксперты считают, что в ближайшее время мошенники могут вновь активизироваться.
Согласно отчету компании Group-IB, хакерская группировка MoneyTaker с 2016-го осуществляет кибератаки на российские, американские и британские банки, рассказывает «Газета.Ru». Специалистам удалось установить связь между 20 инцидентами краж финансовых ресурсов. В настоящее время группа находится в активной фазе, поэтому не исключены попытки новых хищений.
«Невидимки»
В зоне внимания мошенников – системы карточного процессинга и переводов между банками. Известно, что в числе жертв хакеров было автоматизированное рабочее место клиента Центробанка России (АРМ КБР).
Всего же специалистами выявлены 16 кибератак на американские финансовые компании, 3 – на российские и одна – на британскую. При этом лишь один из 20-ти взломов обнаружила система безопасности банка, что позволило вовремя предотвратить преступление.
Отмечается, что атаки на американские финансовые организации в среднем принесли мошенникам по 500 тыс. долларов. Нападение на систему АРМ КБР оценено в 72 млн. руб. – именно столько хакерам удалось вывести со счетов.
Пока MoneyTaker орудует в трех странах, но эксперты считают, что очередными целями группировки могут стать банковские организации стран Латинской Америки. Деятельность хакеров в течение долгого времени была вне радаров: злоумышленники заботились об инструментах взлома и путях отхода, тщательно уничтожая любые следы. И все же ИБ-специалистам удалось отыскать похожие паттерны в инфраструктуре, а также в тактике группы. Это позволило прийти к выводу, что за всеми 20 инцидентами стоят одни и те же люди.
По мнению руководителя департамента киберразведки Group-IB Дмитрия Волкова, участники MoneyTaker скорей всего русскоговорящие. Практически все атаки на отечественные банки осуществляются при помощи носителей русского языка – при взломе закрытых систем это зачастую оказывается решающим фактором.
Помимо этого, удалось установить, что группа арендовала серверы в РФ, пользовалась почтой «Яндекса» и Mail.Ru. Такие находки позволяют предположить, что речь идет о «русских хакерах», которыми нередко пугают Европу и США. В то же время доказательств связи MoneyTaker со спецслужбами России не найдено.
Атаки проходили в фоновом режиме
Финансовый сектор киберпреступники рассматривают, как лакомый кусок для обогащения, поэтому кража личных данных их не интересует. На протяжении последних 5 лет зафиксирован ряд крупных взломов банков в США, России и Южной Корее.
Так, осень. 2016-го произошла массовая кибератак на Сбербанк, Банк Москвы, Альфа-банк и другие крупные компании. Помимо этого, некоторые финансовые организации в мае 2017-го стали жертвами глобального вируса WannaCry. Из-за этого инцидента регулятор решил выпускать рекомендации по уменьшению риска для участников финансового сектора России.
Ранее замначальника главного управления безопасности и защиты информации ЦБ Артем Сычев заявлял, что в 2017-м атаки вируса не нанесли существенного ущерба банковскому сектору страны.
«Атаки шифровальщиков для банковской отрасли прошли, что называется, в фоновом режиме. Даже не очень крупные банки, которые фактически не могут уделять большого внимания информационной безопасности, и то подобные атаки сумели отразить. И реально по финансовой системе вообще практически никакого ущерба эти атаки не нанесли», — говорил Сычев.
По мнению технического директора Check Point Software Technologies Никиты Дурова, вопрос информационной безопасности для отечественных банков в настоящее время стоит крайне остро.
«Ежедневно их услугами пользуются миллионы людей, поэтому хакеры так стремятся взломать их защиту. Кроме того, компрометация онлайн-банкинга приведет к подрыву доверия клиентов как к отдельному банку, так и к самой модели дистанционного банковского обслуживания. Взлом информационной безопасности банка даст злоумышленникам возможность получить данные о пользователях, а значит обеспечит доступ к их счетам и операциям», — отметил эксперт.
В ESET Russia считают, что хакерские атаки на финансовый сектор в основном строятся на человеческом факторе, иначе говоря — на социальной инженерии. Руководитель поддержки продаж Виталий Земских рассказал, что порой применяются и другие варианты: к примеру, атакующие могут хорошо изучить внешние веб-сервисы потенциальных жертв и с их помощью попасть в периметр. Далее они расширяют права в системе, проводят разведку и совершают атаку.
Также слабым звеном являются банкоматы, которые подвержены распространению вредоносного ПО, уязвимостям и эксплойтам.
«До недавнего времени некоторые банки следили преимущественно за защитой банкоматов от физического ущерба (кражи, подрыва и пр.), а безопасности ПО уделяли меньше внимания. Эта недоработка была использована в кибератаках», — констатирует Земских.
В последнее время,когда вся планета становится цифровой и практически каждое движение человека можно отследить,злоумышленники(хакеры)будут пользоваться этим.Банкам и другим финансовым учреждениям,остается усовершенствовать систему безопасности.