Home | | | Short News | | | Long News | | | Long Reads | | | Support | | | Library |
Согласно новым данным, взлом уязвимого устройства совершили члены международной преступной группировки MoneyTaker.
Эксперты Group-IB поделились подробностями громкой истории о хищении 58 млн рублей из ПИР Банка. Как выяснилось, за взломом стоит группировка MoneyTaker, на счету которой свыше 20 атак на финансовые и юридические компании в России, США и Великобритании.
В начале июля злоумышленники смогли получить контроль над корреспондентским счетом ПИР Банка в ЦБ РФ. Согласно первоначальным сообщениям, преступники получили доступ к автоматизированному рабочему месту клиента Банка России (АРМ КБР) с помощью бэкдора Carbanak. Однако после того как эксперты изучили рабочие станции и серверы пострадавшей организации, точкой входа злоумышленников в систему называют устаревший роутер.
Уязвимое устройство располагалось в одном из региональных подразделений ПИР Банка. По словам аналитиков Group-IB, подобные атаки стали “визитной карточкой” MoneyTaker — ранее группировка атаковала таким образом филиалы как минимум трех кредитных организаций.
Эксперты датировали взлом последними числами мая. Устаревший роутер содержал бреши и открыл преступникам прямой доступ к сетевой инфраструктуре банка. Они закрепились в ней с помощью зловредного ПО и смогли скрыть свои действия от защитных систем. На следующем шаге злоумышленники переместились в основную сеть, где им удалось подключиться к АРМ КБР.
Само хищение произошло 3 июля. Деньги с корреспондентского счета ПИР Банка были переведены на 17 заранее созданных счетов. По словам экспертов, сразу после поступления средств “мулы” сняли наличные в банкоматах в различных регионах России.
На следующий день cотрудники банка обнаружили кражу, но отменить операцию было уже невозможно. К тому времени взломщики покинули ИТ-инфраструктуру, постаравшись замести свои следы. Отмечается, что преступники тщательно подготовились к атаке и свели к минимуму применение стороннего ПО, полагаясь на штатные возможности информационных систем.
Специалисты по кибербезопасности наблюдают за MoneyTaker с 2016 года. В США группировка атаковала 15 банков и одну телекоммуникационную компанию, в Великобритании — разработчика ПО для финансовых организаций. Список жертв в России включает пять кредитных учреждений и одно юридическое агентство. Многие расследования еще не завершены, что не позволяет экспертам раскрывать подробности инцидентов.
Для России данная атака стала одной из крупнейших. Еще один инцидент схожего масштаба произошел в декабре 2017 года, когда преступники пытались украсть 55 млн рублей из банка “Глобэкс”. Это была первая в стране подтвержденная попытка вывести средства через систему переводов SWIFT, но благодаря быстрым действиям службы безопасности кредитного учреждения ущерб не превысил 6 млн.
19:45 |
||
17:45 |
||
14:45 |
||
12:45 |
||
11:45 |
||
09:45 |
||
09:45 |
||
19:45 |
||
18:45 |
||
16:45 |
||
15:45 |
||
14:45 |
||
13:45 |
||
10:45 |
||
10:45 |
||
09:45 |
||
19:45 |
||
19:45 |
Home | | | Short News | | | Long News | | | Long Reads | | | Support | | | Library | | | Blogs | | | Links |