Хакеры пасутся на счетах ЦБ как у себя на кухне

Хакерская группировка MoneyTaker атаковала российский банк через его рабочее место в ЦБ. У банка не из первой сотни смогли украсть более полумиллиарда рублей.
В начале 2021 года хакеры после трехлетнего перерыва смогли украсть денежные средства одного из российских банков через атаку на автоматизированное рабочее место клиента Банка России (АРМ КБР). Об этом говорится в отчете компании Group-IB об угрозах безопасности финансового сектора «Большой куш: угрозы для финансовых организаций». С помощью АРМ проводятся межбанковские денежные переводы с корреспондентского счета, открытого в ЦБ.

«После долгого затишья группа MoneyTaker успешно атаковала российский банк. Очевидно, что злоумышленники на этом не остановятся и будут продолжать атаковать АРМ КБР», — говорится в отчете. В прошлый раз MoneyTaker успешно атаковала по такой схеме ПИР Банк. Инцидент произошел летом 2018 года, тогда злоумышленникам удалось украсть с корсчета в Банке России более 58 млн руб., сообщал «Коммерсантъ». В октябре 2018 года ЦБ отозвал лицензию у этого банка.

Название банка и сумму похищенных средств Group-IB не называет. По словам источника РБК, близкого к ЦБ, хакеры таким образом смогли украсть более полумиллиарда рублей. Другой источник на рынке кибербезопасности отметил, что пострадал действующий «не очень крупный банк». Еще один собеседник знает, что это был маленький банк не из первой сотни. ЦБ известно об этом инциденте, сказал РБК представитель регулятора: «По итогам разбора его причин до участников информационного обмена доведен соответствующий информационный бюллетень ФинЦЕРТ». По данным РБК, бюллетень был разослан в апреле 2021 года.

Как хакеры смогли похитить средства

«Атака началась в июне 2020 года через компрометацию аффилированной с банком компании. Предположительно, они начали с физического устройства, установленного в аффилированной сети», — говорится в отчете Group-IB.
Затем хакеры смогли получить доступ к сети банка — на это им понадобилось около месяца. Еще полгода они исследовали сеть с помощью программного обеспечения для хранения учетных данных проверки клиента, удаленного доступа и т.д.

Финальная стадия атаки началась в январе 2021 года. В результате хакеры получили доступ к системе межбанковских переводов, которые проводятся через АРМ КБР, а также смогли украсть цифровые ключи для подписания платежей, проходящих через ЦБ. Как объясняет собеседник РБК в одном из банков, при получении доступа к АРМ КБР в нем можно сформировать платежное поручение и отправить с корсчета деньги на свои счета. «[Хакеры] вручную скопировали поддельные подписанные платежи в специальную папку в системе АРМ КБР», — отмечается в отчете Group-IB.

Опасно ли это для других банков

CEO Group-IB Дмитрий Волков сказал РБК, что риск повторения таких атак существует, но он не так высок, как в 2017–2018 годах, когда целевые атаки на банки проводились ежемесячно. По его словам, этому способствовала большая работа в сфере кибербезопасности самих банков, регулятора и правоохранительных органов, в результате которой проводить такие атаки для злоумышленников стало невыгодно и рискованно.

У российских банков есть большой запас прочности, соглашается главный эксперт «Лаборатории Касперского» Сергей Голованов: «Сейчас каждая крупная финансовая организация обеспечена комплексной системой безопасности, учитывающей все риски предыдущих годов». Он уточнил, что похищенная сумма зависит от размеров банка: в предыдущие годы суммы покушений на хищения в одном банке могли оцениваться и в триллионы рублей.

Реальной угрозой для банковского сектора в будущем являются атаки операторов программ-шифровальщиков, говорит Волков. Они зашифровывают всю информацию на сервере, для ее разблокировки хакеры требуют выкуп. «Такие инциденты наносят прямой финансовый ущерб, парализуют работу инфраструктуры банка и его возможность вести операционную деятельность», — говорит Волков. Как следует из обзора Group-IB, за второе полугодие 2020 года и первое полугодие 2021 года было выявлено 127 атак вирусов-шифровальщиков на финансовые компании по всему миру, хотя за тот же период годом ранее их было менее 50.

Для защиты от хакерских атак банкам следует оценивать главные векторы развития потенциальной атаки, считает Волков: «Например, электронная почта, она по-прежнему требует качественной защиты, которую необходимо регулярно тестировать. Также важно контролировать внешний периметр сети и все средства удаленного доступа».
Маттиас Варниг - чужой среди своих из-за встречи с Путиным
В интервью изданию Zeit Маттиас Варниг рассказал некоторые подробности из разговора с президентом России во время их встречи в Москве. В 2022 году он вышел из совета директоров «Роснефти».
Legrand гасит за собой свет
Убытки от ухода фирма оценивает в 150 млн евро. Legrand владеет тремя заводами в Ульяновской области со штатом более тысячи человек.
Генпрокуратура отправила «Медузу» в аквариум с подачи Пригожина
Генпрокуратура попросила Минюст внести «Медузу» в список нежелательных организаций.
Золотодобытчик Александр Несис не хочет быть робинзоном
Александр Несис помогает зарабатывать на России западным компаниям, которые вводят против нашей страны санкции и бойкоты.
Поставщик Моссада и ФБР обул российскую полицию
МВД РФ работало с компанией, представляющей израильского разработчика, тесно сотрудничающего с Моссадом. Возможные посредники, которых, к тому же обвиняют в мошенничестве, задержаны.
Иностранный инвестор «Илима» из лесу вышел
Американская International Paper продает свою долю в российской лесопромышленной группе.
Decathlon ищет добрые руки
Один из крупнейших в мире ретейлеров спортивных товаров Decathlon выставил на продажу свой бизнес в России. Сеть приостановила поставки товаров на российский рынок и закрыла все местные магазины в 2022 году.
Московской Хельсинкской группе вынесли приговор
Такое решение было вынесено по иску столичного управления Минюста. В числе предъявленных претензий к организации было проведение мероприятий в других регионах. По мнению представителей МХГ, ликвидация организации — это удар не только по правозащитному движению в России, но и во всем мире.
Чем удобрял «Акрон» Вячеслав Кантор
Доходные активы Вячеслава Кантора могут создать ему проблемы.
Алексею Миллеру не нужны вертолеты
В конце прошлой недели ряд деловых изданий России опубликовал довольно странную новость: ООО «Альянспрофэко» — предприятие с уставным капиталом 13 тысяч рублей, намеревается обанкротить ООО Авиапредприятие «Газпром Авиа». Уставный капитал «дочки» ПАО «Газпром» составляет 17 миллиардов 673 миллиона 549,5 тысяч рублей.
Дом, который построил Сергей Гордеев
На ипотечном пузыре зарабатывают экс-сенатор Гордеев и брат губернатора Воробьёва.
Прейс-лист "Монолитного" банкира
The Moscow Post выяснил как бывший банкир Владимир Прейс, мог занимался выводом денег "Русского дома Селенга" в офшоры. И если вкладчики финансовый пирамиды остались ни с чем, то Прейс процветает.
Кого лечат лучшие друзья Татьяны Голиковой
Пропажа лекарств может быть следствием выстроенной Татьяной Голиковой и Михаилом Мурашко системы госзаказов.
За дядю Мишу замолвите слово, или "обухом" по Гуцериеву
Олигарх Михаил Гуцериев, возможно, готовит себе "запасной аэродром" в случае банкротства. Помогают старый друг Искендер Халилов и глава "Сбербанка" Герман Греф?
Дым "Молирена" дотянулся до Сердюкова и Сергея Чемезова
Бенефициар ООО "Молирен" Сергей Ермаков может зарабатывать деньги на российской оборонке вместе с Анатолием Сердюковым под прикрытием главы "Ростеха" Сергея Чемезова.
Ростуризм допутешествовался
Что оставила после себя «упраздненная» глава Ростуризма Зарина Догузова.
Араз Агаларов вырастит «Крокус» до космических высот
Араз Агаларов заработает десятки миллиардов на космодроме Восточный.
Роман Семиохин поставил не на ту лошадь
Один из крупнейших букмекеров «1хСтавка» исчезнет с рынка?
Герман Греф положил вкладчиков "Сбера" в карман
Методы менеджмента и Германа Грефа противоречат интересам финальных собственников Сбербанка?
Тверской экс-губернатор Дмитрий Зеленин готов доить «Русское молоко»
Активы холдинга привлекли экс-главу Тверской области Дмитрия Зеленина.