Group-IB зафиксировала массовые вредоносные рассылки по российским финансовым учреждениям якобы от имени ЦБ РФ и ФинЦЕРТ. Об этом в минувший четверг сообщила пресс-служба компании. Сам Банк России также подтвердил эту информацию.

Как установили эксперты, атаку 15 ноября 2018 г. могла провести хакерская группа Silence, а 23 октября 2018 г. — MoneyTaker. Обе преступных группы включены Group-IB в число наиболее опасных для российских и международных финансовых организаций.

В случае с последней по времени атакой имела место рассылка фишинговых писем, которые отправлялись под видом официальных сообщений ЦБ. В них получателям предлагалось ознакомиться с постановлением регулятора и «незамедлительно приступить к исполнению приказа». Документы якобы размещались во вложенном архиве, распаковав который пользователь в итоге загружал Silence.Downloader —инструмент, который используют хакеры Silence.

По предварительным данным, получателями рассылки от 15 ноября стали не менее 52 банков в России и не менее 5 банков за рубежом. Но, основываясь на данных по предыдущим атакам, можно подсчитать, что атака велась, скорее всего, по более чем 100 организациям.

Фишинговая рассылка от 23 октября также была стилизована под официальные документы ЦБ РФ. Письма отправлялись с поддельного адреса ФинЦЕРТ и содержали пять вложений: три файла из пяти являлись пустышками-приманками, а два других содержали загрузчик Meterpreter Stager. Для управления этой атакой использовались самоподписанные SSL-сертификаты. Кроме того, серверная инфраструктура, задействованная в ней, неоднократно использовалась с предыдущих атаках хакерами MoneyTaker. Все это позволило предположить, что за октябрьской атакой якобы от имени ЦБ стоят именно они.

Как отмечают эксперты, непосредственно клиентов банка подобные атаки не затрагивают: деньги выводятся не с их счетов, а со счетов финансового учреждения. Но «дыры в безопасности» банка могут стать одной из причин отзыва лицензии.