Хакеры разослали банкам 11 тысяч зараженных писем от имени госорганов
6 декабря 2018 года
Компания Group-IB, специализирующаяся на предотвращении кибератак, зафиксировала массовую вредоносную рассылку по финансовым учреждениям и предприятиям. Письма с трояном, предназначенным для хищения средств рассылались хакерами от имени различных российских госорганов.
"Начиная с 11 сентября система Group-IB Threat Intelligence (киберразведка) фиксировала массовые рассылки по российским банкам, промышленным и транспортным компаниям: 3210 писем было отправлено в сентябре, 2311 – в октябре, 4768 – в ноябре и 784 – в декабре. Рассылки шли волнами, пик пришелся на 24 и 27 сентября – 729 и 620 писем соответственно. В общей сложности с сентября до начала декабря хакеры отправили 11 073 писем с 2 900 различных электронных адресов, подделанных под госучреждения", – говорится в сообщении, опубликованном на сайте Group-IB (Архивная копия от 5 августа 2021 на Wayback Machine).
Сообщается, что вредоносная активность была обнаружена и блокирована с помощью системы раннего предупреждения кибератак Threat Detection System Polygon (TDS), позволяющей "распаковывать" и проверять подозрительные письма в изолированной от основной сети банка среде.
По данным аналитиков, письма хакеров рассылаются от имени региональных управлений Роспотребнадзора, Россельхознадзора, Ростехнадзора, Росприроднадзора, Министерства труда, УФСИН, прокуратуры, судов и других ведомств. Каждое из писем, замаскированных под рассылку служебных документов, содержит вредоносное вложение, представляющее собой архив с исполняемым файлом. Распакованные файлы имеют фейковые иконки PDF-документов, что дополнительно вводит жертв атаки в заблуждение.
"После запуска извлеченного из архива файла происходит заражение компьютера. Банковский троян RTM с 2016 года стоящий "на вооружении" у одноименной хакерской группы, ориентирован на корпоративных пользователей, его цель — бухгалтерские программы для работы с системами дистанционного банковского обслуживания (ДБО)", –отметили в Group-IB.
Как уточнили в компании, этот троян имеет модульную структуру: его различные элементы отвечают за отдельные функции. Например, один модуль собирает информацию о зараженном компьютере и установленных на нем банковских и бухгалтерских приложениях, другой считывает нажатия кнопок клавиатуры, третий делает снимки экрана, а четвертый подменяет платежные реквизиты, записи базы доменных имен и сертификаты безопасности.
В процессе работы RTM похищает логин и пароль пользователя, а затем скачивает и запускает средства удаленного управления компьютером. После этого троян создает платежное поручение и отправляет его в систему ДБО через удаленное управление на зараженном компьютере, либо похищает аутентификационные данные и секретный ключ, используемые в системе ДБО. Во втором случае отправка поручения происходит уже с компьютера злоумышленника.
По данным Group-IB, в случае успешного хищения, в среднем, хакеры "зарабатывают" на таких атаках около 1 100 000 рублей с одного юрлица. "Среди потенциальных жертв RTM — банки, до сих пор игнорирующие установку средств защиты от целевых атак хакерских групп, а также те, кто редко проверяет текущее состояние инфраструктуры на предмет обнаружения подозрительной активности внутри периметра банка", – отметил руководитель Департамента сетевой безопасности Group-IB Никита Кислицин.
В компании также обратили внимание на тот факт, что опасность подобных атак связана с их продолжительностью: зачастую финансовые учреждения не проводят качественного реагирования на произошедший инцидент, считая его единичным. В результате вредоносная программа может месяцами эксплуатироваться злоумышленниками.
Напомним, в середине ноября в компании Positive Technologies сообщили, что большинство современных банкоматов уязвимо к хищению средств, а к утечке данных банковских карт клиентов уязвимы все банкоматы.
Источники править
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.
Комментарии
Если вы хотите сообщить о проблеме в статье (например, фактическая ошибка и т. д.), пожалуйста, используйте обычную страницу обсуждения.
Комментарии на этой странице могут не соответствовать политике нейтральной точки зрения, однако, пожалуйста, придерживайтесь темы и попытайтесь избежать брани, оскорбительных или подстрекательных комментариев. Попробуйте написать такие комментарии, которые заставят задуматься, будут проницательными или спорными. Цивилизованная дискуссия и вежливый спор делают страницу комментариев дружелюбным местом. Пожалуйста, подумайте об этом.
Несколько советов по оформлению реплик:
- Новые темы начинайте, пожалуйста, снизу.
- Используйте символ звёздочки «*» в начале строки для начала новой темы. Далее пишите свой текст.
- Для ответа в начале строки укажите на одну звёздочку больше, чем в предыдущей реплике.
- Пожалуйста, подписывайте все свои сообщения, используя четыре тильды (~~~~). При предварительном просмотре и сохранении они будут автоматически заменены на ваше имя и дату.
Обращаем ваше внимание, что комментарии не предназначены для размещения ссылок на внешние ресурсы не по теме статьи, которые могут быть удалены или скрыты любым участником. Тем не менее, на странице комментариев вы можете сообщить о статьях в СМИ, которые ссылаются на эту заметку, а также о её обсуждении на сторонних ресурсах.