МОСКВА, 15 ноя — РИА Новости. Group-IB, занимающаяся информационной безопасностью, зафиксировала 23 октября и 15 ноября массовые вредоносные рассылки в адрес российских банков якобы от имени Центрального банка России, говорится в сообщении компании.
Сегодня утром Group-IB обнаружил рассылку якобы с адреса Центробанка России. Письма с темой «Информация центрального банка Российской Федерации» предлагали получателям ознакомиться с постановлением регулятора «Об унифицировании формата электронных банковских сообщений ЦБ РФ» и незамедлительно приступить к исполнению «приказа». Документы якобы размещались во вложенном архиве, распаковав который пользователь в итоге загружал Silence.Downloader — инструмент, который использует хакерская группировка Silence, рассказали в пресс-службе Group-IB.
«Получателями сегодняшних писем были не менее 52 банков в России и не менее пяти банков за рубежом. К сожалению, точно установить всех получателей на данный момент нельзя. Цифры основаны на статистике собранной системами Group-IB TDS. Но, основываясь на данных по предыдущим атакам, атака велась, скорее всего, по более чем 100 организациям», — указали эксперты Group-IB, отметив также, что стиль и оформление практически идентичны официальным рассылкам регулятора. «Скорее всего, хакеры имели доступ к образцам подлинных сообщений», — полагают в компании. В «Лаборатории Касперского» РИА Новости также подтвердили факт фишинговой рассылки и отнесли ее к целевой атаке хакеров Silence.
Кроме того, письмо, отправленное 23 октября с поддельного «адреса» ФинЦЕРТа — Центра мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере Банка России — содержало пять вложений, стилизованных под официальные документы ЦБ. Среди них — «Типовая форма соглашения о взаимодействии Центрального банка Российской Федерации по вопросам мониторинга и обмена.doc». По данным экспертов, три файла из пяти были пустышками-приманками, а два других содержали вредоносный загрузчик Meterpreter Stager.
По оценке Group-IB, атаку в октябре могла провести хакерская группировка MoneyTaker. Аналитики компании считают, что образцы документов ЦБ хакеры получили из ранее скомпрометированных почтовых ящиков сотрудников российских банков. Полученная информация используется MoneyTaker для проведения целевых атак на банки, в том числе при формировании писем, которые копируют документы регулятора, заметили в Group-IB.
Silence — группа русскоговорящих хакеров. Впервые их активность была зафиксирована специалистами Group-IB в 2016 году. По данным «Лаборатории Касперского», первая волна атак Silence датируется июлем 2017 года. Группа специализируется на целевых атаках на банки, рассылая фишинговые письма с вредоносными вложениями. MoneyTaker — преступная группа, специализирующаяся на целевых атаках на финансовые организации, которую эксперты Group-IB раскрыли в декабре прошлого года. Основными целями хакеров в банках выступают карточный процессинг и системы межбанковских переводов (АРМ КБР и SWIFT).