Воскресенье, 24.11.2024
×
Бюджетные страсти. Как победить инфляцию. Украдут ли банковские депозиты. Экономика за 1001 секунду

Забытая киберугроза вернулась на банковский рынок

Аа +
- -

ЦБ предупредил банки о новой угрозе — фишинговой рассылке писем с трояном хакерской группировкой Silence. Она атакует банки с весны 2017 года, однако до последнего времени эти достижения в основном приписывались недавно обезглавленной группировке Cobalt. Тем временем Silence, вокруг которой не было шумихи, может быть не менее опасна, чем Cobalt, предупреждают эксперты.

О том, что на днях ФинЦЕРТ (подразделение ЦБ по кибербезопасности) в рамках информационного обмена уведомил банки о новой угрозе, рассказали “Ъ” участники рынка. В сообщении говорится о фишинговой рассылке вредоносного программного обеспечения (ВПО) с трояном intel security.exe. Эксперты уверены, что данный вредонос принадлежит преступной группировке Silence («Тишина»), которая в 2017 году атаковала банки в России, Армении и Малайзии. «Специфика данного вредоносного вложения более чем сходна с теми, что использует Silence,— отметил руководитель экспертного центра безопасности Positive Technologies Алексей Новиков.— Каждая такая группировка имеет свои особенности, поэтому классифицировать их с технической точки зрения вполне возможно».

В Банке России подтвердили факт сообщения о вредоносе. «Использование ВПО этого типа наблюдается с весны 2017 года, ФинЦЕРТ фиксировал случаи его распространения еще до того, как оно было классифицировано как Silence,— отметили в ЦБ.— 20 октября 2017 года был выпущен бюллетень с описанием ВПО и правилами обнаружения».

Тем не менее до последнего времени о Silence почти не говорили. До конца марта 2018 года главной угрозой для банков в России считалась группировка Cobalt. В 2017 году она совершила 240 атак на российские кредитные организации, из которых 11 завершились успехом и хищением более 1 млрд руб. Но после задержания главы группировки ее деятельность приостановилась. Методы Cobalt и Silence похожи, но есть различия, указывают эксперты. Cobalt делала «оптовые» рассылки, отправляя вредонос сотне банков сразу. Silence действует более избирательно. «Злоумышленники используют инфраструктуру уже зараженных банков и отправляют сообщения от имени их настоящих сотрудников в другие кредитные организации,— говорит старший антивирусный аналитик "Лаборатории Касперского" Сергей Ложкин.— Часто текст фишингового письма выглядит как стандартный запрос на открытие корреспондентского счета». По словам Алексея Новикова, Cobalt рассылал ВПО, эксплуатирующее уязвимости, тогда как Silence присылает файлы с расширением .chm, запуск вредоносного вложения выполняется без использования уязвимости, через стандартный функционал Windows.

Хотя официальных заявлений о «жертвах» Silence не было, эксперты допускают, что именно она совершила часть атак, которые приписывают Cobalt.

«В ряде случаев и жертвы совпадали — банк был атакован двумя группировками одновременно, и потому есть определенная вероятность того, что часть "успешных" атак просто была приписана Cobalt»,— указывает Алексей Новиков. Примером могут быть атаки с выводом средств через SWIFT. «Все помнят атаку в декабре 2017 года на банк "Глобэкс",— рассказывает собеседник “Ъ” в правоохранительных органах.— Сразу вслед за "Глобэксом", тоже в декабре 2017 года, был атакован еще один банк, и злоумышленники пытались вывести средства (безуспешно) также через SWIFT». И в этом банке были обнаружены две рассылки с вредоносом — и от Cobalt, и от Silence.

В ЦБ с этим не спорят. «ФинЦЕРТ продолжает углубленный технический анализ по ряду сложных компьютерных атак, имевших негативные последствия, при необходимости дополнительная информация будет доведена до участников информационного обмена»,— отметили в Банке России. У всех ВПО, используемых для атак на банки, примерно одинаковые принципы работы, а у использующих их лиц примерно одинаковые цели, поясняют в ЦБ. Поэтому, добавляют там, для принятия первоочередных мер по пресечению атаки важно не название группировки, а индикаторы компрометации конкретной атаки.

Заметили ошибку? Выделите её и нажмите CTRL+ENTER
все рынки »
- -
211
ПОДПИСАТЬСЯ на канал Finversia YouTube Яндекс.Дзен Telegram

обсуждение

Ваш комментарий
Вы зашли как: Гость. Войти через
Бюджет, нефть, пенсии, инфляция, вклады и рубли Бюджет, нефть, пенсии, инфляция, вклады и рубли Экономика России дошла до точки. Пропаганда чайлдфри запрещена. Что происходит с нефтью. Как победить инфляцию. Что не так с индексацией пенсий. Украдут ли банковские депозиты и долларовые сбережения. Заговор «мировой элиты». Налоги на недвижимость меняются. Сливочное масло: цены и география. Потенциальные кандидаты в БРИКС: биржевой портрет Потенциальные кандидаты в БРИКС: биржевой портрет Страны-кандидаты на членство в БРИКС: фондовые рынки весьма разные, но у многих есть перспективы. Тимур Аитов: «Нас спасет «золотой» переводной рубль СЭВ» Тимур Аитов: «Нас спасет «золотой» переводной рубль СЭВ» Тема трансграничных платежей, а, точнее, их задержек, в центре внимания всех – и чиновников, и бизнесменов и даже граждан. Тем не менее, вопрос не решён, а СМИ сообщают о новых и новых задержках. Есть ли выход из ситуации? Об этом – разговор с финансовым экспертом Тимуром Аитовым, председателем комиссии по финансовой безопасности совета Торгово-промышленной палаты России,
Канал Finversia на YouTube

календарь эфиров Finversia-TV »