19.07.2018, 11:30
Количество просмотров 107

Group-IB назвала участников хакерской атаки на ПИР Банк

За атакой на российский "ПИР Банк" и попыткой хищения нескольких десятков миллионов рублей стоит преступная группа MoneyTaker, установили специалисты компании Group-IB, специализирующейся на предотвращении кибератак и разработке продуктов для информационной безопасности.
Group-IB назвала участников хакерской атаки на ПИР Банк

Инцидент произошел 3 июля с использованием АРМ КБР (автоматизированное рабочее место клиента Банка России). По заявлению банка, денежные средства выведены веерной рассылкой на пластиковые карты физических лиц в 17 банках из топ-50, большая часть денежных средств обналичена уже в ночь хищения. После этого злоумышленники попытались закрепиться в сети банка для подготовки последующих атак, однако вовремя были обнаружены.

"В рамках произошедшего инцидента специалисты компании Group-IB в максимально короткие сроки помогли установить предполагаемый источник атаки, выстроить цепочку событий, а также локализовать проблему. На данный момент банк работает в штатном режиме, все рекомендации компании Group-IB применяются и будут применяться в работе банка, чтобы не допустить подобных инцидентов в будущем", — рассказала Ольга Колосова, председатель правления ООО "ПИР Банк".

Исследовав зараженные рабочие станции и сервера финансовой организации, криминалисты Group-IB собрали неопровержимые цифровые доказательства причастности к краже хакеров из MoneyTaker. В частности, экспертами были обнаружены инструменты, которые ранее уже использовала группа MoneyTaker для проведения атак на банки, вредоносные программы, позволяющее однозначно атрибутировать инцидент, IP-адреса, с которых проводилось управление вредоносными программами, а также сам метод проникновения в сеть.

Рекомендации по предотвращению подобных атак направлены финансовым организациям — клиентам и партнерам Group-IB, в том числе в ЦБ России.

MoneyTaker — преступная группа, специализирующаяся на целевых атаках на финансовые организации, которую раскрыли эксперты Group-IB в декабре прошлого года, опубликовав аналитический отчет: "MoneyTaker: полтора года ниже радаров". Основными целями хакеров в банках являются карточный процессинг и системы межбанковских переводов (АРМ КБР и SWIFT).

Атака на "ПИР Банк" началась в конце мая 2018 г., выяснили специалисты Group-IB. Предполагаемой точкой входа стало скомпрометированное сетевое устройство (маршрутизатор), стоящее в одном из территориальных подразделений банка. На маршрутизаторе были настроены туннели, позволившие атакующим получить доступ в локальную сеть банка. В Group-IB подчеркивают: такой способ проникновения в сеть является характерным для группы MoneyTaker. Как минимум трижды хакеры уже использовался эту схему при атаках на банки, имеющие региональную филиальную сеть.

Очевидно, что MoneyTaker представляет не меньшую угрозу, чем группа Cobalt, названная ЦБ главной угрозой российских банков. Поскольку в большинстве успешных атак MoneyTaker точкой входа являлись маршрутизаторы, необходимо в первую очередь проверить их на наличие актуальной прошивки, на возможность перебора паролей и способность оперативно обнаруживать факт изменения конфигурации маршрутизатора, сообщают в Group-IB.

По материалам vestifinance

Рубрика:
{}Безопасность
PLUSworld в соцсетях:
telegram
vk
youtube

ТАКЖЕ ПО ТЕМЕ