© ComNews
21.01.2019

Group-IB сообщила о масштабной волне вредоносных рассылок, нацеленных на российский финансовый сектор, за которой стоит киберпреступная группа Silence. С начала года это самая крупная атака, насчитывающая более 80 тыс. получателей, - сотрудников российских кредитно-финансовых организаций, среди которых основную долю занимают банки и крупные платежные системы.

Атака началась с фишинговых рассылок Silence 16 января. Впервые в своей практике группировка замаскировала вирус под приглашение на отраслевое мероприятие - iFin-2019. Любопытно, что XIX Международный форум iFin-2019 "Электронные финансовые услуги и технологии" на самом деле пройдет в Москве 19 и 20 февраля.

"Фишинговая рассылка - первый и важнейший этап нападения. Если вредоносной программе удалось пробить защиту банка, она закрепляется в системе, и злоумышленники получают к ней доступ. С момента заражения до момента вывода денег проходит обычно от двух недель до нескольких месяцев. В данном случае оценка ущерба очевидно преждевременна", - заявили в пресс-службе Group-IB.

Как сообщает Group-IB, совпадения в тексте приглашения указывают, что в письме злоумышленники использовали официальный анонс iFin-2019. В приложении к посланию хакеры прикрепили ZIP-архив, внутри которого было приглашение на форум и вредоносное вложение Silence.Downloader aka TrueBot - инструмент, который используют только хакеры Silence.

По словам специалистов Group-IB, Silence начала активно работать по российским банкам в 2016 г. "Мы зафиксировали ущерб в размере 52 млн руб., который принесла по подтвержденным эпизодам в прошлом году эта группировка. Сейчас Silence - одна из самых опасных для банков хакерских организаций. Ее можно поставить в один ряд с Cobalt и MoneyTaker. Silence - киберкриминальная группа, целью которой является хищение денег", - сообщили в Group-IB.

Опыт Group-IB показывает, что киберпреступники ежегодно атакуют финансовые организации в период с 25 декабря по 14 января. Накануне новогодних праздников на счетах банков, как правило, аккумулируется большое количество денежных средств. Банковские работники уже не столь бдительны, многие из них, не исключая сотрудников служб безопасности, уходят в отпуск. Этим пользуются злоумышленники.

"Вредоносная активность декабрьской и январской кампаний была зафиксирована Group-IB Threat Detection System в российских банках и была заблокирована, - комментирует руководитель отдела динамического анализа вредоносного кода, эксперт по киберразведке Group-IB Рустам Миркасымов. - Об индикаторах атаки, а также способах защиты были оперативно оповещены все клиенты Group-IB. Очевидно, что масштаб действий Silence увеличивается. Мы наблюдаем рост атак не только по России, но и активные действия в отношении европейских и ближневосточных финансовых компаний. Что примечательно, мы фиксируем изменения в работе группы, которые начали появляться спустя некоторое время после выпуска технического отчета Group-IB, описывающего тактику действий хакеров и детали атак", - сказал Рустам Миркасымов.

Ранее Group-IB зафиксировала вредоносные рассылки Silence по финансовым учреждениям с 25 по 27 декабря 2018 г. Преступники разослали письма якобы от реально существующей фармацевтической компании, сотрудник которой обращался в банк с просьбой открыть корпоративный счет и зарплатный проект. Хакеры Silence, представляясь соучредителями фармкомпании, детально описывали филиальную структуру, указывали количество сотрудников и торопили с партнерством по зарплатному проекту. В письмо вложили даже псевдо-дизайн-макет, чтобы забрендировать банковские карты для персонала.

Напомним, в ноябре 2018 г. хакеры Silence отправляли массовую вредоносную рассылку по российским банкам с фейкового адреса Центрального банка России. Разумеется, регулятор не имел к рассылке никакого отношения. Злоумышленники подделали адрес отправителя, а также стиль и оформление письма. Хакеры предлагали получателям ознакомиться с постановлением регулятора "Об унифицировании формата электронных банковских сообщений ЦБ РФ" и незамедлительно приступить к исполнению "приказа". В архиве письма также содержалась вредоносная программа. Получателями ноябрьской рассылки, по данным Group-IB, оказались 52 российских банка и пять зарубежных.

Group-IB прогнозирует, что атаки продолжатся. "Сейчас мы выделяем четыре группировки хакеров - русскоязычные Cobalt и MoneyTaker, Silence и северокорейская Lazarus. Они представляют наибольшую опасность для банков. Группы способны не только проникнуть в сеть, добраться до ее изолированных сегментов, но и успешно вывести деньги через различные системы, включая АРМ КБР, SWIFT, карточный процессинг или банкоматы. Геополитика не является причиной проведения атак для финансово мотивированных хакеров Cobalt, MoneyTaker, Silence: их интересуют деньги - неважно, в каком банке они лежат", - сказал представитель пресс-службы Group-IB.

Ведущий антивирусный эксперт "Лаборатории Касперского" Сергей Голованов рассказал в беседе с корреспондентом ComNews, что в компанию не поступало сообщений об активных заражениях. "Возможно, преступникам где-то и удалось заразить технику. Тогда в каждом случае им потребуется несколько недель, чтобы исследовать сеть, найти доступ к компьютерам, на которых можно осуществлять транзакции, и только после этого попытаться вывести деньги", - сказал Сергей Голованов.

Эксперт сообщил, что Silence начала работать в России в 2017 г. "Мы видим, что уровень защищенности банков с каждым годом растет. И преступникам становится все труднее красть у них деньги. Вероятно, атаки будут, но успеха злоумышленникам достигать все сложнее. Предпосылок к усилению атак или к спаду атак на российский финансовый сектор мы не видим", - подытожил Сергей Голованов.