Сайт о банках: банки России, банки мира, банковское дело, инвестиции, фондовый рынок, новости
     Федеральная резервная система – негосударственная организация, выполняющая роль центробанка США (эмиссия доллара)
Разделы
  Календарь
«    Декабрь 2018    »
ПнВтСрЧтПтСбВс
 
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
 

Две хакерские группы атаковали российские банки от имени Центробанка
Зафиксированы массовые вредоносные рассылки по российским финансовым учреждениям якобы от имени Центрального банка России и ФинЦЕРТ, структуры Департамента информационной безопасности ЦБ. Об этом заявила международная компания Group-IB, специализирующаяся на предотвращении кибератак.
 
Две хакерские группы атаковали российские банки от имени Центробанка
 
Эксперты Group-IB установили, что атаку 15 ноября могла провести хакерская группа Silence, а 23 октября – MoneyTaker. Обе преступных группы включены Group-IB в число наиболее опасных для российских и международных финансовых организаций.

"MoneyTaker и Silence являются двумя из 4 наиболее опасных хакерских группировок, которые представляют реальную угрозу для международных финансовых организаций, - отмечает Рустам Миркасымов, руководитель отдела динамического анализа вредоносного кода, эксперт по киберразведке Group-IB. - Хакеры из MoneyTaker используют все возможные векторы атак на банки: они могут, например, отправить фишинговое письмо, провести drive by атаку или тестирование сетевой инфраструктуры банка на наличие уязвимостей. А уже после получения доступа к внутренним узлам сети хакеры легко проводят атаки и вывод денег через карточный процессинг или систему межбанковских переводов (в России – АРМ КБР, автоматизированное рабочее место клиента Банка России). Silence в свою очередь менее изобретательны и пользуются только безотказным и проверенным способом атаки – фишинговыми письмами. Но, в отличие от своих коллег, уделяют больше внимания содержанию и оформлению текста писем".

Ноябрьская атака Silence

Утром 15 ноября Group-IB зафиксировала массовую вредоносную рассылку по российским банкам с фейкового адреса Центрального банка России. Разумеется, сам ЦБ не имеет к рассылке никакого отношения – злоумышленники подделали адрес отправителя. SSL-сертификаты для прохождения проверки DKIM не использовались. Письма с темой "Информация Центрального банка Российской Федерации" предлагали получателям ознакомиться с постановлением регулятора "Об унифицировании формата электронных банковских сообщений ЦБ РФ" и незамедлительно приступить к исполнению "приказа". Документы якобы размещались во вложенном архиве, распаковав который, пользователь в итоге загружал Silence.Downloader – инструмент, который используют хакеры Silence.

Эксперты Group-IB пояснили, что стиль и оформление письма практически идентичны официальным рассылкам регулятора. Скорее всего, хакеры имели доступ к образцам подлинных сообщений. Напомним, что согласно данным отчета Group-IB, выпущенного в сентябре этого года, участниками Silence являются люди, предположительно занимавшиеся или занимающиеся легальной работой – пентестами и реверс-инжинирингом. Именно поэтому они хорошо знакомы с документооборотом в финансовом секторе и работой банковских систем.

Октябрьская атака MoneyTaker

Письмо, отправленное 23 октября также с поддельного адреса ФинЦЕРТ, содержало пять вложений стилизованных под официальные документы ЦБ. Среди них "Типовая форма соглашения о взаимодействии Центрального банка Российской Федерации по вопросам мониторинга и обмена.doc". Три файла из пяти являлись пустышками-приманками, а два других содержали загрузчик Meterpreter Stager. Для управления этой атакой использовались самоподписанные SSL-сертификаты. Кроме того, серверная инфраструктура, задействованная в ней, неоднократно использовалась с предыдущих атаках хакерами MoneyTaker. Все это позволило предположить, что за октябрьской атакой якобы от имени ЦБ стоят именно они.

Аналитики Group-IB считают, что образцы документов ЦБ хакеры получили из ранее скомпрометированных почтовых ящиков сотрудников российских банков. Полученная информация используется MoneyTaker для проведения целевых атак на банки, в том числе при формировании писем, которые копируют документы регулятора.

Фишинговая рассылка, сделанная от имени ЦБ – довольно распространенный среди киберпреступников вектор атаки, им пользовались группы Buhtrap, Anunak, Cobalt, Lurk. Например, в марте 2016 года злоумышленники рассылали фишинговые письма с info@fincert.net. Что касается реальных оповещений от имени ЦБ России, ранее для доставки вредоносных программ сотрудникам банков их использовали хакеры из Lurk и Buhtrap.

"Начиная с июля ФинЦЕРТ использует для информационного обмена автоматизированную систему обработки инцидентов, которая позволяет осуществлять защищенный и оперативный обмен информацией об инцидентах и операциях, совершенных без согласия клиента на основе базы данных "Фид-Антифрод", - сказали в пресс-службе Банка России. – Резервным каналом доставки информации является канал электронной почты. Все сообщения, отправляемые посредством электронной почты, подписаны ЭЦП ФинЦЕРТ".
 
Читайте также:

  • Ущерб от кибератак на российскую финансовую сферу составил 3 млрд рублей
  • Центробанк России выявил кибератаки вируса-шифровальщика Petya на российски ...
  • Насколько безопасна SWIFT
  • НБУ предупредил банки о хакерской атаке
  • Акции разработчиков антивирусов выросли


  • Финансовая грамотность
    Крупнейшие банки мира по активам 2017

    1. Industrial and Commercial Bank of China (ICBC) – 3,473
    2. China Construction Bank Corporation – 3,016
    3. Agricultural Bank of China – 2,816
    4. Bank of China ltd – 2,604
    5. Mitsubishi UFJ Financial Group – 2,589
    Крупнейшие банки мира по рыночной капитализации 2017

    1. ICBC – 281.2
    2. China Construction Bank Corporation – 225.8
    3. JP Morgan Chase – 208.1
    4. Bank of China – 199.1
    5. Bank of America – 190.3

    МВФ

    МБРР

    Базельский комитет по банковскому надзору

    Европейский центральный банк
    Новые статьи
    Как открыть бизнес в Италии
    Базовую лицензию получили 89 банков, еще 53 банка намерены получить такую лицензию
    Деловой климат в Великобритании меняется накануне Brexit
    Инвестиции в готовый бизнес Чехии

    Главная   Банки России    Банки мира    Банковское дело    Инвестиции    Фондовый рынок    Новости    Контакты




    Банки, банковское дело, банки мира
       Copyright 2015 © bankiglobal.ru