Десятки российских банков потеряли миллионы долларов из-за атак киберпреступников

В портфолио кибермошенников пополнение: к воровству кредиток добавились кражи у нескольких десятков крупных российских банков. Как это произошло?

Десятки российских банков потеряли миллионы долларов из-за атак киберпреступников

В 2015 году значительно возросло количество кибермошенников, занимающихся воровством денег не у обычных людей, а у рыбки покрупнее. Сразу несколько хакерских группировок освоили методы и тактики проведения APT-атак и запустили свои руки в «казну» как минимум 29 крупных российских банков.

Десятки российских банков потеряли миллионы долларов из-за атак киберпреступников

Пострадавшие обратились за помощью в «Лабораторию Касперского» — и за дело взялись специалисты из нашего Глобального центра исследований и анализа угроз (GReAT). В ходе расследования были обнаружены следы трех независимых группировок хакеров, действия которых привели к многомиллионным убыткам. На Security Analyst Summit 2016 эксперты GReAT рассказали о проводившихся расследованиях. В целях безопасности названия пострадавших банков не раскрываются.

https://twitter.com/k8em0/status/696636003692314624

Ой, мороз, мороз, не морозь меня

Банковский троян с благозвучным именем Metel (и вторым, менее мелодичным Corkow) был впервые обнаружен в 2011 году. В то время он охотился на пользователей интернет-банков. В 2015 году создатели Metel взяли на прицел уже сами банки, а если точнее — банкоматы. С помощью смекалки и вредоносной кампании преступники превратили обычные банковские карты в безлимитные кредитки — прямо как печатный станок для денег, только лучше. Получилось у них это следующим образом.

Десятки российских банков потеряли миллионы долларов из-за атак киберпреступниковДесятки российских банков потеряли миллионы долларов из-за атак киберпреступников

Злоумышленники последовательно заражали компьютеры сотрудников банка — с помощью целевых фишинговых писем или эксплуатируя уязвимости браузера. Получив доступ к одному компьютеру, они с помощью вполне легальных программ взламывали и остальные, пока не добирались до машины, позволявшей отменять денежные переводы. К примеру, такими возможностями обладают устройства сотрудников службы поддержки и call-центра.

В результате каждый раз, когда преступники снимали деньги с карты атакованного банка в банкоматах других банков, система автоматически отменяла списание средств и сохраняла прежний баланс. Таким образом преступники обчистили не один банкомат.

По нашим сведениям, банда состоит из небольшого количества людей, до десяти человек. Часть команды говорит на русском, заражений за пределами России замечено не было. Хакеры все еще активны и ищут новые жертвы.

Хитроумные преступники

Преступники из группировки GCMAN провели похожую операцию, однако вместо банкоматов они использовали переводы на электронные кошельки.

Используя фишинговые электронные письма с вредоносными вложениями, члены GCMAN проникали в компьютеры HR-специалистов и бухгалтеров, где либо ждали, пока администратор авторизуется в системе, либо ускоряли естественный ход событий, устраивая сбой в работе 1С или Word. Когда вызванный системный администратор заходил в систему, преступники воровали его пароль.

Далее члены GCMAN путешествовали по корпоративной сети банка, пока не находили устройство, способное незаметно перевести деньги в различные электронные платежные системы. Кстати, в некоторых случаях преступники обходились легальным ПО и традиционными инструментами для проведения теста на проникновение в систему — например, Putty, VNC и Meterpreter.

Деньги выводились при помощи скрипта, раз в минуту осуществлявшего переводы небольшими суммами, порядка $200, так как это верхний лимит для анонимных переводов в России. Стоит отметить, что воры вели себя предусмотрительно: в сети одного из банков они скрытно готовились действовать в течение полутора лет, за это время взломав немало учетных записей и компьютеров.

По нашим данным, группа GCMAN очень маленькая, в нее входит один или два человека, по всей видимости, они русскоговорящие.

Возвращение Carbanak

Банда Carbanak орудует в Интернете с 2013 года и с тех пор периодически то пропадает, то возвращается. На настоящий момент список жертв хакеров стал шире: в их число входят не только банки, но и финансовые отделения из заинтересовавших преступников компаний. Эта группа уже похитила сотни миллионов долларов у организаций по всему миру. После этого она затаилась, но в последние четыре месяца банда Carbanak снова в деле и все еще весьма активна.

Для взлома и кражи средств хакеры используют характерные для APT приемы и инструменты. Первоначальное заражение корпоративной сети происходит с помощью целевого фишинга. Обманутый сотрудник открывает вложение и устанавливает на ПК вредоносное приложение, разработанное Carbanak.

Попав в сеть, преступники ищут доступ к учетной записи администратора, а затем используют украденные логин и пароль, чтобы взломать контроллер доменов и похитить деньги с банковских аккаунтов или даже изменить сведения о владельце компании.

По нашим данным, Carbanak — это международная группировка, в которую входят киберпреступники из России, Китая, Украины и некоторых других стран Европы. Всего в банде несколько десятков человек. Подробнее о деятельности Carbanak вы можете прочитать в этом посте.

Я работаю в банке. Что делать?

Если ваша работа связана с финансами, будьте начеку. Как видно из приведенных выше примеров, именно вы можете оказаться тем пользователем, который нечаянно приведет киберпреступников в свой офис. Поэтому советуем вам разобраться с тем, что такое фишинг, зачем нужно обновлять ПО, особенно браузеры и Flash, и как не стать жертвой троянских программ.

В заключение хотим сказать, что продукты «Лаборатории Касперского» успешно обнаруживают и обезвреживают известное вредоносное программное обеспечение, созданное бандами Carbanak, Metel и GCMAN.

Советы