Хакерам удалось украсть деньги банка с его корсчёта в ЦБ впервые за три года

[душман]

Стало известно, что впервые за последние три года хакерам удалось провести успешную атаку против российского банка через его рабочее место в ЦБ. В результате этого киберпреступникам из группировки MoneyTaker удалось украсть у банка не из первой сотни более полумиллиарда рублей. Об этом пишет РБК со ссылкой на данные компании Group-IB.

Согласно имеющимся данным, связанный с атакой на автоматизированное рабочее место клиента Банка России инцидент произошёл в начале 2021 года. АРМ КБР используется для проведения межбанковских денежных переводов с корреспондентского счёта, открытого в ЦБ. «После долгого затишья группа MoneyTaker успешно атаковала российский банк. Очевидно, что злоумышленники на этом не остановятся и будут продолжать атаковать АРМ КБР», — говорится в отчёте Group-IB. «Большой куш: угрозы для финансовых организаций».

Напомним, группировка MoneyTaker использовала аналогичную схему для атаки ПИР Банка летом 2018 года. Тогда хакеры похитили с корсчёта в Банке России более 58 млн рублей, а в октябре того же года ЦБ отозвал лицензию у ПИР Банка. Какой именно банк был атакован хакерами на этот раз в отчёте Group-IB не сказано. Предполагается, что речь идёт о действующем «не очень крупном банке».Представитель ЦБ подтвердил, что об инциденте известно, и по итогам его разбора участники информационного обмена получили соответствующий информационный бюллетень.

Что касается самой хакерской кампании, то она началась ещё в июне 2020 года с компрометации аффилированной с банком компании. Примерно через месяц злоумышленникам удалось получить доступ к сети банка. Ещё полгода осуществлялось изучение сети с помощью разного программного обеспечения. В финальной стадии хакерам удалось получить доступ к системе межбанковских переводов, которые проводятся через АРМ КБР. Затем они оформили платёжное поручение и перевели деньги с корсчёта на свои счета.

В Group-IB отметили, что в настоящее время риск повторения подобных атак ниже, чем в 2017-2018 годах. Снижению рисков способствовала масштабная работа, проводимая в сфере кибербезопасности самих банков, регуляторов и правоохранительных органов. В результате проводить подобные атаки стало невыгодно и рискованно. По оценкам специалистов, в настоящее время гораздо большую угрозу для банков представляют программы-вымогатели, которые шифруют все данные на скомпрометированных устройствах, после чего хакеры требуют выкуп за восстановление работоспособности. 

В отчёте Group-IB сказано, что за второе полугодие 2020 и первое полугодие 2021 годов было зафиксировано 127 атак с использованием вымогательского ПО, которые проводились на финансовые компании в разных странах мира.