Крупнейшая с начала года кибератака затронула более 80 тыс. сотрудников банков

   Масштабная волна вредоносных рассылок группы Silence затронула более 80 тыс. получателей - сотрудников российских кредитно-финансовых организаций, среди которых основную долю занимают банки и крупные платежные системы. Вредоносное вложение было замаскировано под приглашение на международный форум iFin-2019, сообщила международная компания Group-IB, специализирующаяся на предотвращении кибератак.
   Массовая атака началась с фишинговых рассылок Silence 16 января. Впервые в практике Silence вредоносное вложение было замаскировано под приглашение. Интересно, что XIX Международный форум iFin-2019 "Электронные финансовые услуги и технологии", действительно, пройдет в Москве 19 и 20 февраля, о чем организаторы мероприятия сделали рассылку около 9 утра по Москве 16 января. Через несколько часов свое "приглашение" отправила группа Silence. Фальшивая рассылка велась от имени Forum iFin-2019, но с адреса info@bankuco[.]com. Текстовые совпадения указывают на то, что в своем письме злоумышленники использовали официальный анонс, но отредактировали его.
   "Заполните анкету в приложенном архиве и перешлите нам. Вы получите два бесплатных пригласительных, и название Вашего банка будет размещено на официальном портале форума", - говорится в письме Silence. В аттаче к посланию был ZIP-архив, внутри которого были приглашение на банковский форум и вредоносное вложение Silence.Downloader, также известное как TrueBot - инструмент, который используют только хакеры Silence.
   Практика маскировки злоумышленниками вредоносных программ под официальные приглашения широко распространена у прогосударственных хакерских группировок, которые специализируются на шпионаже: они направляют в военные ведомства, посольства, министерства и СМИ "приглашения" на конференции НАТО, ООН или ЕС со скрытыми внутри вредоносными программами, цель которых - шпионить за получателем.
   В январской фишинговой рассылке был использован реальный анонс финансового форума: это еще раз подтверждает версию о том, что участниками Silence, одной из самых малочисленных и слабоизученных хакерских групп, являются люди, предположительно занимавшиеся или занимающиеся легальной работой, в том числе пентестами и реверс-инжинирингом в финансовом секторе, полагают в Group-IB.
   В пользу этой версии говорит и другой факт: в рамках январской кампании специалисты Group-IB обнаружили еще две фишинговые рассылки, нацеленные на российские банки, якобы от имени начальников отделов межбанковских операций ЗАО "Банк ICA" и ЗАО "Банкуралпром" (на самом деле такие банки не существуют). Отправители обращались в банки с просьбой оперативно рассмотреть вопрос по открытию и обслуживанию корреспондентских счетов их организаций. Во вложении содержался архив с договором, при распаковке которого на компьютер пользователя загружалась все та же вредоносная программа Silence.Downloader.
   Как показал анализ текста письма, хакеры Silence не застрахованы от ошибок: в письме от имени ЗАО "Банкуралпром" в подписи значится другой несуществующий банк - ЗАО "БанкЮКО". Проверка по указанным адресам (Челябинская обл., г. Магнитогорск, ул. Гагарина, д. 17 и д. 25) показала, что здесь расположены офис другой кредитно-финансовой организации и жилой дом.
   Также Group-IB зафиксировала вредоносные рассылки Silence по финансовым учреждениям в период с 25 по 27 декабря. На этот раз применялась новая схема с использованием социальной инженерии. Преступники разослали письма якобы от реально существующей фармацевтическои? компании, сотрудник которой обращался в банк с просьбой открыть корпоративный счет и зарплатный проект. Хакеры Silence, представляясь "соучредителем" фармкомпании, детально описывали филиальную структуру, указывали количество сотрудников и "торопились" со сменой партнера по зарплатному проекту. Более того, в письмо был вложен "дизайн-макет", чтобы сделать брендированные банковские карты для персонала.
   "Вредоносная активность декабрьской и январской кампаний была зафиксирована Group-IB Threat Detection System в российских банках и была заблокирована, - комментирует руководитель отдела динамического анализа вредоносного кода, эксперт по киберразведке Group-IB Рустам Миркасымов. - Об индикаторах атаки, а также способах защиты были оперативно оповещены все клиенты Group-IB. Очевидно, что масштаб действий Silence увеличивается: мы наблюдаем рост атак не только по России, но и активные действия в отношении европейских и ближневосточных финансовых компаний. Что примечательно, мы фиксируем изменения в работе группы, которые начали появляться спустя некоторое время после выпуска технического отчета Group-IB, описывающего тактику действий хакеров и детали атак. На данный момент Silence - одна из самых опасных русскоязычных групп, фактически стоящая в одном ряду с Cobalt и MoneyTaker".
   Напомним, что Silence часто эксплуатируют банковскую тематику: в ноябре хакеры отправляли массовую вредоносную рассылку по российским банкам с фейкового адреса Центрального банка России. Разумеется, сам ЦБ не имеет к рассылке никакого отношения - злоумышленники подделали адрес отправителя. Стиль и оформление письма практически идентичны официальным рассылкам регулятора: письма с темой "Информация Центрального банка Российской Федерации" предлагали получателям ознакомиться с постановлением регулятора "Об унифицировании формата электронных банковских сообщений ЦБ РФ" и незамедлительно приступить к исполнению "приказа". Однако в архиве письма также содержалась вредоносная программа. Получателями ноябрьской рассылки, по данным Group-IB, оказались как минимум 52 банка в России и пять банков за рубежом.

Источник: Банки.ру https://www.banki.ru/news/lenta/?id=10824574