Из российского банка украли $1 млн через старый роутер

Старый роутер иденежные мулы Российская компания Group-IB опубликовала результаты расследования инцидента в ПИР банке,в результате которого кредитная организация лишилась почти $1 млн. Атака быласовершена еще в начале июля 2018 г. Тогда с корсчета ПИР банка в Банке России хакерывывели около 58 млн руб., распределив их по счетам в 22 крупнейших банках споследующим оперативным обналичиванием украденного. Эксперты Group-IB заявили, что за атакой стояли участникикиберкриминальной группировки MoneyTaker, которые уже два года терроризируютбанки в США и России. Злоумышленникам удалось захватить контроль над старым,уязвимым роутером в одном из региональных подразделений банка и с его помощью смоглипроникнуть в локальную сеть организации. Группировка Money Taker использовалаэтот метод уже как минимум трижды. ПИР банк в результате хакерской атаки лишился $1 миллиона Просочившись во внутренние сети банка, хакеры с помощьювредоносных программ обеспечили себе там устойчивое присутствие. Им такжеудалось подключиться к автоматизированному рабочему месту клиента Банка России(АРМ КБР), тем самым получив возможность выводить деньги с корсчета ПИР банка. Следы замести неудалось В ночь с 3 на 4 июля 2018 г. злоумышленники осуществиливывод средств. Спустя несколько часов они все уже были обналичены такназываемыми денежными мулами в банкоматах по всей стране. Злоумышленники такжеуспели очистить системные журналы ОС, журналы прикладных систем и удалить рядсистемных файлов на множестве компьютеров ПИР-банка, — все для того, чтобызамести следы. «Утром 4 июля, обнаружив многочисленные несанкционированныетранзакции в общей сложности на несколько десятков миллионов рублей, сотрудникибанка обратились к регулятору с просьбой о срочной блокировкекорреспондентского счета и цифровых ключей электронной подписи (ЭП) АРМ КБР,однако оперативно приостановить все финансовые переводы не удалось. Большаячасть украденных средств была переведена на несколько десятков карт крупнейшихбанков России и сразу же обналичена сообщниками хакеров — мулами, привлекаемымик финальному этапу вывода денег из банкоматов», — говорится в отчете Group-IB. Несмотря на попытки преступников скрыть следы преступления,киберкриминалисты Group-IB смогли пошагово отследить все их действия и установитьиспользованные инструменты. Выяснилось также, что злоумышленники оставили на серверах рядтак называемых реверсшеллов (reverse shell), программ, которые подключались ксерверам, контролируемым злоумышленниками, и ожидали новых команд. Очевидно,хакеры планировали вернуться «за добавкой». Но все эти программы были вычищеныиз сети банка. Carbanak не виноват
Примечательно, что ранее глава Сбербанка Герман Греф заявил, что атаку на ПИР банксовершила группировка Carbanak. Эксперты Group-IB опровергают эту информацию,но отмечают, что группа MoneyTaker ничуть не менее опасна и что, помимо денег, злоумышленниковчасто интересует документация о системах межбанковских платежей, которая затемиспользуется для подготовки дальнейших атак. «Совершенно очевидно, что мы имеем дело смеждународной группировкой, которая имеет достаточные ресурсы для проведениявесьма масштабных операций, включающих найм “денежных мулов” по всему миру, —считает Дмитрий Гвоздев, генеральныйдиректор компании “Информационные технологии будущего”. — Пока трудно сказать,действует ли группировка MoneyTaker, исходя из исключительно финансовыхинтересов, или, как это становится модным в последнее время, преследует такжекакие-то политические цели, но для жертв их атак это и не так важно. Важнее —быть готовыми противостоять подобным атакам. От целевой атаки сложнозащититься, но нужно хотя бы соблюдать правила гигиены информбезопасности —отслеживать собственный парк устройств и новости о выявленных в нихуязвимостях, включая zeroday, и минимизировать количество возможных “точек входа”за счет своевременного обновления прошивок, создания патчей для маршрутизаторови других устройств интернета вещей.
Ссылка на источник