Хакеры смогли украсть с корсчета банка в ЦБ более 500 млн рублей

По данным аналитиков, за взломом стоит группа хакеров MoneyTaker, которая ранее уже совершала такого рода атаки.

«В 2016-2019 гг. эта группа совершала атаки на АРМ КБР и системы карточного процессинга в Великобритании, Гонконге, США, Украине и России. После более чем годового затишья MoneyTaker вновь начали атаковать финансовые организации», — рассказали в компании.

Предполагается, что процесс взлома они начали еще в июне 2020 года «через компрометацию аффилированной с банком компании», а затем еще полгода исследовали внутреннюю сеть банка. Уже в 2021 году хакеры зарегистрировали подставные доменные имена, использовав название банка и зоны .org и .com, вместо .ru. Затем злоумышленники украли цифровые ключи, которые использовали «для подписания платежей, проходящих через транспортный шлюз Банка России».

Как пояснил один из собеседников РБК, работающий в одном из банков, при получении доступа к АРМ КБР в нем можно сформировать платежное поручение и отправить с корсчета деньги на свои счета.

«В феврале 2021 атакующие похитили цифровые ключи и позже использовали их для подписания платежей, проходящих через транспортный шлюз Банка России. После этого они вручную скопировали поддельные подписанные платежи в специальную папку в системе АРМ КБР», — говорится в отчете Group-IB.

Сколько именно средств смогли украсть хакеры в Group-IB не уточнили. Однако, как сообщает РБК со ссылкой на близкий к Центробанку источник, похитители смогли украсть со счета свыше 500 млн рублей. Другие собеседники издания также отметили, что от действий хакеров пострадал не самый крупный банк, который по объему активов даже не входит в первую сотню.

Также источники издания уточнили, что в Банке России знают о случившемся и уже приняли меры для предотвращения таких ситуаций в будущем.

«По итогам разбора его [инцидента] причин до участников информационного обмена доведен соответствующий информационный бюллетень ФинЦЕРТ», — раскатал представитель ЦБ.

Ранее об атаке, проведенной аналогичным способом, сообщалось в 2018 году. Тогда с корсчета ПИР-банка в Банке России было выведено свыше 58 млн рублей.

Как рассказал РБК главный исполнительный директор Group-IB Дмитрий Волков, риск повторения таких атак все еще есть, хотя он уже не так высок, как в 2017–2018 годах. Тогда атаки на кредитные организации проводились ежемесячно. Такому улучшению ситуации способствовала большая работа в сфере кибербезопасности как самих банков, так и Центробанка и правоохранительных органов. В результате, проводить такие атаки для злоумышленников стало невыгодно и слишком рискованно.

На данный момент реальную угрозу для банковского сектора представляют атаки операторов программ-шифровальщиков. Злоумышленники зашифровывают всю информацию на сервере и требуют от банка выкуп для разблокировки данных.

«Такие инциденты наносят прямой финансовый ущерб, парализуют работу инфраструктуры банка и его возможность вести операционную деятельность», — пояснил Волков.

По данным Group-IB, только с июля 2020 года по июль 2021 года было выявлено 127 атак вирусов-шифровальщиков на финансовые компании по всему миру. При этом всего за год до этого их было зафиксировано менее 50.

Чтобы обезопасить себя от такого рода атак, банкам необходимо оценить качество защиты наиболее уязвимых зон.

«Например, электронная почта, она по-прежнему требует качественной защиты, которую необходимо регулярно тестировать. Также важно контролировать внешний периметр сети и все средства удаленного доступа», — заключил он.

В декабре 2021 года криптобиржа BitMart сообщила, что подверглась взлому, в результате которого потеряла криптовалюту на сумму в $150 млн. Как оказалось, уязвимость, которой воспользовались злоумышленники, была связана с горячими кошельками (кошельки, которые постоянно подключены к интернету. — Прим. RTVI) Ethereum и Binance Smart Chain. Однако, по словам основателя и генерального директора биржи Шелдона Ся, эти кошельки содержали лишь небольшой процент активов на BitMart. Все остальные кошельки биржи остались в сохранности.