ПИР-банк потерял 58 млн рублей из-за устаревшего роутера

Согласно новым данным, взлом уязвимого устройства совершили члены международной преступной группировки MoneyTaker.

Эксперты Group-IB поделились подробностями громкой истории о хищении 58 млн рублей из ПИР-банка. Как выяснилось, за взломом стоит группировка MoneyTaker, на счету которой свыше 20 атак на финансовые и юридические компании в России, США и Великобритании.

В начале июля злоумышленники смогли получить контроль над корреспондентским счетом ПИР-Банка в ЦБ РФ. Согласно первоначальным сообщениям, преступники получили доступ к автоматизированному рабочему месту клиента Банка России (АРМ КБР) с помощью бэкдора Carbanak. Однако после того как эксперты изучили рабочие станции и серверы пострадавшей организации, точкой входа злоумышленников в систему называют устаревший роутер.

Уязвимое устройство располагалось в одном из региональных подразделений ПИР-банка. По словам аналитиков Group-IB, подобные атаки стали “визитной карточкой” MoneyTaker — ранее группировка атаковала таким образом филиалы как минимум трех кредитных организаций.

Эксперты датировали взлом последними числами мая. Устаревший роутер содержал бреши и открыл преступникам прямой доступ к сетевой инфраструктуре банка. Они закрепились в ней с помощью зловредного ПО и смогли скрыть свои действия от защитных систем. На следующем шаге злоумышленники переместились в основную сеть, где им удалось подключиться к АРМ КБР.

Само хищение произошло 3 июля. Деньги с корреспондентского счета ПИР-банка были переведены на 17 заранее созданных счетов. По словам экспертов, сразу после поступления средств “мулы” сняли наличные в банкоматах в различных регионах России.

На следующий день cотрудники банка обнаружили кражу, но отменить операцию было уже невозможно. К тому времени взломщики покинули ИТ-инфраструктуру, постаравшись замести свои следы. Отмечается, что преступники тщательно подготовились к атаке и свели к минимуму применение стороннего ПО, полагаясь на штатные возможности информационных систем.

Специалисты по кибербезопасности наблюдают за MoneyTaker с 2016 года. В США группировка атаковала 15 банков и одну телекоммуникационную компанию, в Великобритании — разработчика ПО для финансовых организаций. Список жертв в России включает пять кредитных учреждений и одно юридическое агентство. Многие расследования еще не завершены, что не позволяет экспертам раскрывать подробности инцидентов.

Для России данная атака стала одной из крупнейших. Еще один инцидент схожего масштаба произошел в декабре 2017 года, когда преступники пытались украсть 55 млн рублей из банка “Глобэкс”. Это была первая в стране подтвержденная попытка вывести средства через систему переводов SWIFT, но благодаря быстрым действиям службы безопасности кредитного учреждения ущерб не превысил 6 млн.

Ваш голос учтён!

нравится

не нравится

Рейтинг:

1

Всего голосов: 1

Новые материалы в Разное:

RuStore открыл доступ иностранным разработчикам   // 08 февраля

CISA опубликовало декриптор в помощь жертвам шифровальщика ESXiArgs   // 08 февраля

Google обещает блюрить непристойные и жестокие картинки поиска   // 08 февраля

Бизнес предлагает продавать алкоголь по 2FA   // 08 февраля