Group-IB: Хакеры украли у российских банков почти 2 млрд рублей от имени ЦБ

Группировка хакеров Buhtrap за полгода - с августа 2015 по февраль 2016 года - похитила 1,8 млрд рублей из российских банков, говорится в в отчете компании Group-IB, которая занимается расследованием киберпреступлений.

Хакеры рассылали финансовым организациям фишинговые письма от имени Банка России или его представителей. Первая рассылка была зафиксирована 22 октября 2015 года - многие российские банки получили письмо с почтового ящика [email protected] с темой «Информация для банковских работников». Внутри письма был документ MS Office, при открытии которого запускалась программа, проверяющая историю браузеров на наличие ссылок, связанных с интернет-банками и банковским ПО. Если такие ссылки находились, то программа загружала из интернета вредоносное ПО, которое большинство антивирусов не определяет как вирус, говорится в отчете Group-IB.

Следующей жертвой хакеров стал клуб «Антидроп», в который входят представители служб безопасности банков. В частности, они обмениваются между собой информацией о мошенничествах. 18 декабря 2015 года Buhtrap разослала участникам клуба письма с почтового ящика [email protected] с темами «Срочно! Обновленная база дропов» и «Обновленная база дропов», в которых была ссылка на вирус, размещенный на сайте gazprombank.com.ru (адрес настоящего сайта «Газпромбанка» - gazprombank.ru). Вирус работал по схеме, аналогичной сценарию с письмами от Центробанка.

Сотрудники служб безопасности банков быстро поняли, что рассылка является мошеннической, подчеркнули в Group-IB.

В Goup-IB подчеркнули, что годовые затраты на эффективные средства предотвращения подобных атак в 28 раз меньше, чем средний прямой ущерб от одной целенаправленной атаки.

«Лаборатория Касперского» 16 марта 2016 года сообщила еще об одной хакерской атаке на российские банки, которая была зафиксирована 15 марта. Злоумышленники рассылали финансовым организациям фишинговые письма с почтового адреса [email protected]. FinCERT - подразделение Центробанка России, которое занимается вопросами информационной безопасности в финансовой сфере. По данным «Лаборатории Касперского», хакеры разослали письма в сотни российских банков с доументом MS Office, при запуске которого устанавливаются системы удаленного администрирования. Пострадал ли какой-либой банк в результатете этой атаки, в отчете компании не говорится.

В феврале 2015 года русскоязычные хакеры взломали системы казанского «Энергобанка» и совершили несколько сделок по нерыночным ставкам, что привело к кратковременным колебаниям курса доллара на Московской бирже. Потери «Энергобанка», по оценкам самой кредитной организации, составили 243,6 млн рублей.