Март
Пн   4 11 18 25  
Вт   5 12 19 26  
Ср   6 13 20 27  
Чт   7 14 21 28  
Пт 1 8 15 22 29  
Сб 2 9 16 23 30  
Вс 3 10 17 24 31  






Хакеры украли $25 млн у 13 российских банков

В начале марта Металлинвестбанк сообщил о кибератаке: хакеры вывели с корсчета банка 667 млн руб. Часть средств удалось вернуть, и ущерб составил около 200 млн руб. К атаке на банк могла быть причастна группировка под названием Buhtrap, сообщил «Ведомостям» гендиректор компании Group-IB (расследование киберпреступлений) Илья Сачков. Это не единственная успешная атака: по данным Group-IB, в ходе 13 атак на российские банки с августа 2015 г. по февраль 2016 г. эта группировка украла $25 млн.

Buhtrap известна с 2014 г. Тогда она взламывала банк-клиенты, а целевыми атаками на банки группировка занялась позже. С тех пор ущерб от ее действий растет: в свою первую атаку в августе прошлого года хакеры украли у одного из банков 25,6 млн руб., следует из отчета Group-IB. Заметно, что хакеры набрались опыта: они научились быстрее находить дорогу к АРМ КБР (автоматизированное рабочее место клиента Банка России. – «Ведомости»), что способствует успешности атаки, говорит директор департамента киберразведки Group-IB Дмитрий Волков.

По его мнению, Buhtrap хочет украсть у одного банка именно 1 млрд руб. – такую сумму они пытались вывести несколько раз и всегда банкам удавалось или предотвратить хищение, или вернуть часть украденных средств.

В отличие от других хакерских группировок Buhtrap не интересуют онлайн-системы денежных переводов, банкоматы и платежные шлюзы. Группировка пользуется специальным вирусом, обученным искать и заражать АРМ КБР (до денег Металлинвестбанка в итоге добрались именно через АРМ КБР). Чаще всего этот вирус попадает в IT-инфраструктуру банка с помощью фишинговых писем якобы от Центробанка, сказано в отчете Group-IB. Фишинг позволяет выдавать письма с вредоносным кодом за сообщения от адресата, которому доверяет пользователь.

Во вторник сотни банков подверглись атаке. Они получили вредоносные письма якобы от FinCert – одной из структур ЦБ, занимающейся борьбой с хакерами. Письма предупреждали об атаке на банк через АРМ КБР. Волков заявляет, что к этому инциденту также причастна Buhtrap.

Целевые атаки технически сложны: они разрабатываются для каждого конкретного банка и вручную управляются оператором, отмечает Волков. Поэтому такой вредоносный код умеет обходить антивирусы и другие средства защиты, говорит эксперт. В своем отчете Group-IB объясняет успех Buhtrap недостатком знаний банковской отрасли о целевых атаках, поэтому банки и не могут принять адекватные ответные меры. То, что при этом банки слишком полагаются на привычные меры безопасности, лишь облегчает задачу киберпреступникам. Представитель ЦБ сообщил, что в компетенцию ЦБ не входит оценка причастности криминальных групп к той или иной атаке.