Group-IB: атаки хакерской группы Silence нанесли банкам ущерб на 52 млн рублей

Подтвержденный ущерб банков в более чем 25 странах мира от атак хакерской группы Silence составил 52 млн рублей. Такие данные представила компания в сфере расследования и предотвращения киберпреступлений Group-IB.

Специалисты компании впервые зафиксировали активность Silence в 2016 году. Тогда хакеры предприняли попытку вывести деньги через российскую систему межбанковских переводов АРМ КБР. Хищение удалось предотвратить благодаря тому, что злоумышленники допустили ошибки при подготовке платежного поручения.

С 2017 года хакерская группа стала проводить атаки на банкоматы. В результате первого подтвержденного специалистами Group-IB инцидента мошенникам удалось украсть из банкомата за одну ночь 7 млн рублей. В 2018 году при проведении атаки через карточный процессинг хакеры уже использовали банкоматы компании-партнера, что позволило им украсть 35 млн рублей. В апреле этого года они провели еще одну атаку на банкоматы, ущерб от которой за одну ночь составил 10 млн рублей.

Атаки на банкоматы
С 2017 года хакерская группа стала проводить атаки на банкоматы

Group-IB называет Silence одной из главных угроз для российских и иностранных банков после снижения активности группы Cobalt.

Хакеры группы используют при совершении атак фишинг, то есть рассылку электронных писем с ссылками, переход по которым позволяет злоумышленникам завладеть конфиденциальной информацией пользователя. Вначале Silence использовала взломанные серверы и скромпрометированные учетные записи. Позднее преступники стали создавать самоподписанные сертификаты и регистрировать фишинговые домены.

В Group-IB считают, что за Silence стоят русскоязычные хакеры, что обусловлено языком команд, расположением используемой атакующими инфраструктуры и самими целями преступников. Хакеры используют в коде русские слова, записанные в английской раскладке. Основные цели мошенников находятся в России, Украине, Белоруссии, Азербайджане, Польше, Казахстане, однако они рассылали фишинговые письма с целью заполучить конфиденциальную информацию также сотрудникам банков Центральной и Западной Европы, Африки и Азии.

Костяк группы Silence составляют два человека — разработчик и оператор.

«Разработчик имеет навыки высококвалифицированного реверc-инженера, он разрабатывает инструменты для проведения атак, модифицирует сложные эксплойты (программы, использующие уязвимости в коде), — отмечается в отчете Group-IB. — Однако при разработке допускает немало ошибок: это характерно для вирусного аналитика или реверс-инженера, он знает, как именно пишутся программы, но не знает, как правильно программировать. Второй член команды — оператор, он хорошо знаком с проведением тестов на проникновение, что позволяет ему ориентироваться внутри банковской инфраструктуры, именно он использует разработанные инструменты для получения доступа к защищенным системам внутри банка и запускает процесс хищений».

Ограниченность ресурсов Silence объясняет избирательность их атак, которые готовятся по несколько месяцев.

«Silence во многом переворачивает представление о киберпреступности: по характеру атак, инструментам, тактике и даже составу группы очевидно, что за этими преступлениями стоят люди, в недавнем прошлом или настоящем занимающиеся легальной работой — пентестами (тестами на проникновение) и реверс-инжинирингом, — считает технический директор и глава направления киберразведки Group-IB Дмитрий Волков. — Ряд инструментов Silence — легитимны, другие разработали они сами, взяв на вооружение опыт других групп».

Источник

05.09.2018 391 0
Читайте также
Добавить комментарий