Хакеры атаковали российские банки от имени ЦБ

Об этом говорится в релизе компании Group-IB, специализирующейся на предотвращении кибератак.



Рассылка прошла с поддельного адреса Банка России, Group-IB называет ее отправителями хакерскую группировку Silence. Письма с темой "Информация центрального банка Российской Федерации" предлагали получателям ознакомиться с постановлением регулятора "Об унифицировании формата электронных банковских сообщений ЦБ РФ" и незамедлительно приступить к исполнению "приказа", отмечают в Group-IB. Документы якобы размещались во вложенном архиве, распаковав который пользователь в итоге загружал Silence. Downloader - инструмент, который используют хакеры Silence.

Стиль и оформление письма были практически идентичны официальным рассылкам ЦБ, подчеркивают в Group-IB. "Скорее всего, хакеры имели доступ к образцам подлинных сообщений. Напомним, что согласно данным отчета Group-IB, выпущенного в сентябре этого года, участниками Silence являются люди, предположительно занимавшиеся или занимающиеся легальной работой - пентестами и реверс-инжинирингом. Именно поэтому они хорошо знакомы с документооборотом в финансовом секторе и работой банковских систем", - говорится в отчете.

По данным Group-IB, вредоносную рассылку 15 ноября получили минимум 52 банка в России и не менее пяти банков за рубежом. Скорее всего, атакованных банков было больше ста, считают в компании. О пострадавших от действий хакеров не сообщается.

Подобная атака фиксировалась также и 23 октября. По данным Group-IB, письма отправлялись с поддельного адреса ФинЦЕРТ (структурное подразделение Департамента информационной безопасности Банка России) группировкой MoneyTaker. Письма содержали пять вложений, также стилизованных под официальные документы ЦБ. Три файла из пяти являлись пустышками-приманками, а два других содержали загрузчик Meterpreter Stager, говорится в отчете Group-IB. Аналитики Group-IB считают, что образцы документов ЦБ хакеры получили из ранее скомпрометированных почтовых ящиков сотрудников российских банков.

О хакерской атаке на свои ресурсы 15 ноября сообщила Федеральная антимонопольная служба (ФАС). По заявлению ведомства, произошла массовая рассылка вируса, ворующего служебные логины и пароли. Параллельно шла атака на информационные ресурсы, возможно, с целью взлома, отмечали в ФАС.