Хакеры украли два миллиарда рублей с помощью социнженерии

Криминалисты выявили новый вирус Buhtrap, с помощью которого, рассылая банкам письма якобы от Банка России, злоумышленникам за полгода удалось украсть 1.8 млрд рублей. Основой успеха хакеров стала достаточно простая социальная инженерия - рассылка писем с поддельных адресов, принадлежащих якобы ЦБ РФ и другим госучреждениям.

По данным специалистов компании Group-IB, которая занимается расследованиями компьютерных преступлений, хакеры 13 раз атаковали российские банки при помощи вируса Buhtrap. В своих махинациях злоумышленники использовали рассылку писем якобы от имени Банка России. 

В результате первых атак, российские банки получали письмо с почтового ящика support@cbr.ru.com с темой «Информация для банковских работников», содержащее документ MS Office. При открытии этого документа начинался запуск программы, выявляющей в истории браузеров ссылки, имеющие отношения к банкам и банковским программным продуктам. При наличии таковых, из интернета автоматически загружалась и устанавливалась вредоносная программа - вирус Buhtrap. При этом, многие антивирусные программы не определяли её как вирус.

Подобным образом хакерам удалось узнать о существовании клуба «Антидроп», в котором представители служб безопасности банков обмениваются между собой информацией о мошенничествах.

В декабре 2015 году хакеры Buhtrap с адреса mironova.olga@gazprombank.com.ru отправили письма с темами «Срочно! Обновленная база дропов». «Обновленная база дропов» содержала ссылку на вредоносный файл», - рассказывается в отчете Group-IB. Вирус работал по схеме, аналогичной сценарию с письмами от имени ЦБ.

В январе этого года хакеры разослали письма с информацией о вакансии, которая якобы открылась в ЦБ. Письма приходили с ящика vakansiya@cbr.ru.net, который представляет собой видоизмененный домен ЦБ, с темой «Вакансия в Центральном банке» и документом, содержащим вирус для MS Office (он же Buhtrap). 

По сообщению пресс-службы ЦБ, адрес vakansiya@cbr.ru.net не принадлежит ЦБ.

 «По факту данной рассылки Банк России направлял информацию в правоохранительные органы. Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере Банка России (ФинСЕРТ) направлял участникам информационного обмена соответствующую информацию», — отметила пресс-служба.

Еще одна хакерская рассылка банкам осуществилась при помощи зарегистрированного домена fincert.net, который ассоциируется у банкиров со структурным подразделением главного управления безопасности и защиты информации Банка России FinCERT, у которого нет своего сайта.

В результате, банки Металлинвестбанк и Русский международный банк были вынуждены на некоторое время отключиться от системы БЭСП (банковские электронные срочные платежи) чтобы защитить денежные средства банка от несанкционированного снятия с корреспондентского счета.

В марте хакеры взломали систему удаленного доступа к банковской системе, с помощью которой произвели операцию по переводу средств на подконтрольные счета физических лиц. В пресс-службе Металлинвестбанка заявили, что потери банка от хакерской атаки составили 200 млн руб.

«Сумма, которую злоумышленники пытались похитить, составляет менее 1% от активов банка, размер потерь меньше прибыли, полученной банком с начала 2016 года, которая составляет более 400 млн», — говорилось в пресс-релизе.

Русский международный банк подвергся атаке хакеров в январе. Благодаря оперативным действия специалистов, мошенники не успели снять со счетов деньги, но и не были обнаружены — в банке сработала программа «Антикиллер», направленная на блокировку атаки.

По данным Group-IB максимальная сумма хищения у российского банка в 2016 году составила 600 млн рублей, минимальная 25.6 млн рублей. 143 млн рублей — средняя сумма успешного хищения у банка. Сумма хищений, которые удалось остановить в январе 2016 года 1 — млрд рублей. Годовые затраты банков на эффективные средства предотвращения атак в 28 раз меньше, чем средний прямой ущерб от одной целенаправленной хакерской атаки.