Более 50 банков из России подверглись кибератакам в октябре и ноябре. Хакеры рассылали письма с приказом от имени Центрального банка, внутри которого содержалась вредоносная программа. За атаками могут стоять две хакерские группы, сообщает 16 ноября компания по кибербезопасности Group-IB.
Рассылку 15 ноября могла провести хакерская группировка Silence. Письмо под названием «Информация центрального банка Российской Федерации» предлагало финансистам ознакомиться с постановлением «Об унифицировании формата электронных банковских сообщений ЦБ РФ». После того как банкиры открывали вложенный документ, активировался вирус Silence.Downloader.
А в октябре уже другая группировка, предположительно MoneyTaker, разослала в банки сообщения от Центра мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере Банка России. Внутри письма содержался вирус-загрузчик Meterpreter Stager.
«Информация и индикаторы атаки от 23 октября и 15 ноября были оперативно загружены в систему Threat Intelligence, что позволило предупредить клиентов Group-IB из числа российских банков о потенциальной угрозе», – сообщается в отчете Group-IB, которая заблокировала атаки.
В российском Центробанке подтвердили, что знают о рассылке вредоносных программ от его имени.
Напомним, что за минувшие пару лет российские банки не раз сталкивались с кибератаками. Так, в июле этого года действия злоумышленников привели к тому, что ПИР-банк лишился более 58 миллионов рублей. В 2017 году было проведено 11 удачных атак на финансовые учреждения, которые потеряли 1,15 миллиарда рублей. MoneyTaker и Silence, по данным Group-IB, считаются одними из самых опасных хакерских группировок, которые виртуально нападают на международные финансовые организации.