Поделиться
Хакеры украли полмиллиарда рублей со счета Центробанка России
Хакерская группировка MoneyTaker похитила со счета ЦБ более полумиллиарда руб. Инцидент произошел в начале 2021 г. При этом сама атака началась в июне 2020 г. Это время хакерам потребовалось для того, чтобы получить доступ к сети банка и перевести на свои счета деньги. Эта же группировка в 2018 г. по той же схеме украла со счета ПИР Банка 58 млн руб.
Кража со счета ЦБ
Хакерская группировка MoneyTaker украла с корреспондентского счета ЦБ более полумиллиарда руб. Успешная атака состоялась в начале 2021 г. через автоматизированное рабочее место клиента Банка России (АРМ КБР), говорится в отчете компании Group-IB об угрозах безопасности финансового сектора «Большой куш: угрозы для финансовых организаций».
«Очевидно, что злоумышленники на этом не остановятся и будут продолжать атаковать АРМ КБР», — говорится в отчете. В 2018 г. MoneyTaker по той же схеме украл со счета ПИР Банка более 58 млн руб.
При этом название банка и сумма похищенных средств в отчете Group-IB не называется. Однако, по словам источников РБК, хакеры украли более полумиллиарда руб. Также они сообщили, что пострадал действующий «не очень крупный банк» даже не из первой сотни. В ЦБ знают о случившемся. По итогам разбора инцидента Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере довел информацию до участников информационного обмена.
Как это произошло
В отчете говорится, что хакерская атака началась еще в июне 2020 г. через компрометацию аффилированной с банком компании. Предположительно, хакеры взломали физическое устройство, установленное в компании. Затем они получили доступ к сети банка (на что хакерам потребовалось около месяца). Последующие полгода были потрачены на исследование сети банка с помощью ПО для хранения учетных данных проверки клиента, удаленного доступа и т.д.
Завершающая стадия атаки началась в январе 2021 г., следует из данных Group-IB. Хакеры смогли получить доступ к системе межбанковских переводов, которые проводятся через АРМ КБР. В том числе, они украли цифровые ключи для подписания платежей, проходящих через ЦБ. Как поясняет собеседник РБК, в АРМ КБР можно сформировать платежное поручение и отправить с корсчета деньги на свои счета. И затем хакеры вручную скопировали поддельные подписанные платежи в специальную папку в системе АРМ КБР.
Что угрожает банкам
Не смотря на то, что риск повторения подобных атак существует, он не так высок, рассказал РБК исполнительный директор Group-IB Дмитрий Волков. Он отметил, что целевые атаки на банки в 2017-2018 гг. проводились ежемесячно. Снижению их числа к настоящему времени поспособствовала большая работа в сфере кибербезопасности самих банков, регулятора и правоохранительных органов. В результате проводить такие атаки для злоумышленников стало невыгодно и рискованно, говорит Волков.
Реальной угрозой для банковского сектора в будущем являются атаки операторов программ-шифровальщиков, говорит Волков. Они зашифровывают всю информацию на сервере, для ее разблокировки хакеры требуют выкуп. «Такие инциденты наносят прямой финансовый ущерб, парализуют работу инфраструктуры банка и его возможность вести операционную деятельность», — говорит Волков. Как следует из обзора Group-IB, за второе полугодие 2020 г. и первое полугодие 2021 г. было выявлено 127 атак вирусов-шифровальщиков на финансовые компании по всему миру, хотя за тот же период годом ранее их было менее 50.
Поделиться
Короткая ссылка
