Хакеры атаковали российские банки под видом ЦБ

Компания по кибербезопасности Group-IB сообщила, что в октябре и ноябре 2018 года хакеры дважды атаковали российские и зарубежные банки с помощью писем, направленных от имени Центробанка.

15 ноября не менее 52 банков в России и пять банков за рубежом получили письма с приказом от имени ЦБ. Во вложенном архиве содержалась вредоносная программа Silence.Downloader, которую использует хакерская группировка Silence. В Group-IB считают, что письма могли получить более 100 организаций, в том числе банки из топ-30. В «Лаборатории Касперского» подтвердили фишинговую рассылку, которую осуществили хакеры Silence.

По данным Group-IB, 23 октября хакеры отправили письма в банки с поддельного адреса ФинЦЕРТа. Письма были стилизованы под сообщения ЦБ. Во вложениях содержался вредоносный загрузчик Meterpreter Stager. В компании считают, что атаку провела группировка MoneyTaker.

В Центробанке сообщили, что знают о проведенных атаках. ЦБ предупредил банки о вредоносных рассылках от имени финансового регулятора.

В июле стало известно о первой кибератаке на российские банки в 2018 году. В результате ПИР-банк, у которого сейчас отозвана лицензия, лишился более 58 миллионов рублей.

Хакерские атаки на банки, при которых деньги выводились через платежную систему Центробанка РФ, получили распространение в 2016 году. Тогда в результате атак на девять банков злоумышленники вывели 1,5 миллиарда рублей. В 2017 году количество успешных атак выросло до 11, но общая сумма похищенных средств снизилась до 1,15 миллиарда рублей.