Хакерская группа Silence атаковала более 50 российских банков от имени Центробанка, сообщили в пресс-службе международной компании Group-IB, специализирующейся на предотвращении кибератак.
«Group-IB зафиксировала массовые вредоносные рассылки по российским финансовым учреждениям якобы от имени Центрального Банка России и ФинЦЕРТ, структуры департамента информационной безопасности ЦБ. Эксперты Group-IB установили, что атаку 15 ноября могла провести хакерская группа Silence, а 23 октября - MoneyTaker. Обе преступных группы включены Group-IB в число наиболее опасных для российских и международных финансовых организаций», - говорится в сообщении.
В пресс-службе отметили, что утром 15 ноября Group-IB зафиксировала массовую вредоносную рассылку по российским банкам с фейкового адреса Центрального банка России. «Получателями рассылки от 15 ноября были не менее 52 банков в России и не менее пяти банков за рубежом. К сожалению, точно установить всех получателей на данный момент нельзя. Цифры основаны на статистике, собранной системами Group-IB TDS. Но, основываясь на данных по предыдущим атакам, можно подсчитать, что атака велась, скорее всего, по более чем 100 организациям», - уточнили в компании.
Уточняется, что для рассылки злоумышленники подделали адрес отправителя. SSL-сертификаты для прохождения проверки DKIM не использовались. Письма с темой «Информация центрального банка Российской Федерации» предлагали получателям ознакомиться с постановлением регулятора «Об унифицировании формата электронных банковских сообщений ЦБ РФ» и незамедлительно приступить к исполнению «приказа». Документы якобы размещались во вложенном архиве, распаковав который пользователь в итоге загружал Silence.Downloader - инструмент, который используют хакеры Silence.
«Эксперты Group-IB отметили, что стиль и оформление письма практически идентичны официальным рассылкам регулятора. Скорее всего, хакеры имели доступ к образцам подлинных сообщений. Согласно данным отчета Group-IB, выпущенного в сентябре этого года, участниками Silence являются люди, предположительно занимавшиеся или занимающиеся легальной работой - пентестами и реверс-инжинирингом. Именно поэтому они хорошо знакомы с документооборотом в финансовом секторе и работой банковских систем», - заключили в пресс-службе.