Сотрудники по крайней мере шести российских банков подверглись недавно хорошо спланированной атаке по электронной почте. Хакеры, маскирующиеся под Банк России, пытались установить вредоносные программы на используемые ими компьютеры.
Инцидент этот стал очередным в серии атак на финансовые институты, совершенных за последний год. Сложившаяся тенденция свидетельствует о смене акцентов в действиях киберпреступных групп. Если раньше они похищали деньги у клиентов банков, то теперь крадут непосредственно у самих банков.
По информации, поступившей из Symantec, в декабре сотрудники нескольких российских банков получили электронные письма с приглашениями перейти на работу в Центральный банк РФ. Сообщения рассылались из домена, очень похожего на домен ЦБ, и содержали ссылку на архивный файл с троянской программой Ratopak.
Ratopak открывает на зараженном компьютере лазейку, позволяющую атакующим получать информацию о нажатиях клавиш на клавиатуре, выбирать данные из буфера обмена и удаленно просматривать изображение на экране, а также загружать и запускать другие вредоносные файлы и инструменты.
Узкая направленность атак и тот факт, что большинство затронутых компьютеров использовались для ведения учета, свидетельствует о финансовой мотивации хакеров. «Посредством троянца Ratopak, способного открывать канал доступа к компьютеру и регистрировать нажатия клавиш на клавиатуре, атакующие могли похищать деньги, управляя скомпрометированным компьютером или используя похищенные учетные сведения сотрудника банка», – отмечается в блоге Symantec.
Все это напоминает другие атаки на финансовые институты, получившие широкое распространение в России и не только. В начале февраля сотрудники «Лаборатории Касперского» сообщали о деятельности трех групп, которые в течение прошлого года заразили вредоносными программами 29 российских банков.
Группы эти использовали четко направленный фишинг, вредоносные программы и другие изощренные приемы, которые ранее ассоциировались главным образом с кибершпионажем. Конечная цель заключается в том, чтобы похитить деньги при помощи тонких технологий и хорошего понимания внутренних банковских систем и операционных процедур.
Одной из наиболее квалифицированных групп такого рода является группа Carbanak, названная так по имени основного используемого ею вредоносного инструментария. В течение двух лет (пока в начале 2015 года деятельность ее не была раскрыта) группа похитила из различных банков, находящихся в 25 странах, свыше 1 млрд долл.
В условиях, когда все больше и больше киберпреступных групп делают ставку на описанную здесь стратегию, банкам необходимо уделять особое внимание безопасности своих внутренних сетей и обучению персонала. При этом, однако, не стоит забывать и о безопасности открытых веб-сайтов, используемых их клиентами.