Хакеры MoneyTaker похитили деньги российского банка с его корсчета в ЦБ

Хакерская группа MoneyTaker успешно атаковала российские банки через рабочее место центрального банка. До этого была аналогичная атака в 2018 году. Даже у банков, не входящих в топ-100, может быть похищено более 500 миллионов рублей.

Хакеры из ‘MoneyTaker’ похищает средства с корреспондентских счетов российских банков в центральном банке

В начале 2021 года хакерам впервые за три года удалось похитить средства из российских банков путем атаки на автоматизированное рабочее место клиента Банка России (АРМ КБР). Об этом говорится в отчете Group-IB об угрозах безопасности финансового сектора «Большой куш: угрозы финансовым учреждениям». АРМ используются для осуществления межбанковских переводов с корреспондентских счетов, открытых в центральных банках.

«После долгого молчания группе MoneyTaker удалось совершить атаку на российский банк. Очевидно, что злоумышленники не остановятся на достигнутом и продолжат атаковать АРМы KDB», — говорится в сообщении. Ранее MoneyTaker успешно атаковал ПИР Банк по такой схеме. Инцидент произошел летом 2018 года, когда злоумышленникам удалось похитить с корреспондентского счета российского банка более 58 млн рублей, сообщает «Коммерсантъ».В октябре 2018 года Центробанк отозвал у банка лицензию.

Group IB не раскрыла ни название банка, ни сумму похищенных средств. По данным источников РБК, близких к центральному банку, хакеры смогли украсть таким образом более 500 миллионов рублей. Другой источник на рынке кибербезопасности сообщил, что пострадали операторы «не очень крупных банков». Другой собеседник знает, что это небольшой банк, не входящий в топ-100. Центральный банк знает об инциденте, и представитель регулятора заявил, что «после изучения его причин участникам информационного обмена был разослан соответствующий бюллетень FinCERT». По данным РБК, бюллетень был разослан в апреле 2021 года.

Как хакеры крадут средства

«В июне 2020 года атака началась со взлома филиалов банка. Вероятно, все началось с физического устройства, установленного в соответствующей сети», — говорится в отчете IB Group.

Затем хакерам потребовалось около месяца, чтобы получить доступ к сети банка. Еще в течение шести месяцев они прощупывали сеть, используя программное обеспечение, хранящее учетные данные клиентов и удаленный доступ.

Заключительный этап начался в январе 2021 года. В результате хакеры смогли получить доступ к системе межбанковских денежных переводов, осуществляемых через АРМ ЦБР, а также украсть цифровой ключ, используемый для подписи платежей, проходящих через центральный банк. Как объяснил один из банковских посредников, доступ к АРМ ЦБР создает платежное поручение и Как пояснил один из посредников банка, обратившись к АРМ КБР, можно создать платежное поручение и перевести его с корреспондентского счета на свой. Хакеры вручную скопировали поддельные подписанные платежи в специальную папку в системе АРМ КДБ», — говорится в отчете Group-IB.

Подвержены ли риску другие банки?

Генеральный директор Group-IB Дмитрий Волков отметил, что риск повторения подобных атак существует, но он не так высок, как в 2017-2018 годах, когда целевые атаки на банки происходили каждый месяц. По его словам, значительные усилия самих банков, регуляторов и правоохранительных органов в области кибербезопасности способствовали тому, что злоумышленникам стало менее выгодно и рискованно осуществлять такие атаки.

Сергей Голованов, главный эксперт «Касперского», говорит: «Все крупные финансовые учреждения имеют комплексные системы безопасности, учитывающие прошлые риски. Он пояснил, что сумма похищенных денег зависит от размера банка. В обычный год сумма денег, которую пытаются украсть в одном банке, оценивается в несколько триллионов рублей.

Реальной угрозой для банковской индустрии в будущем, считает Волков, будут атаки операторов программ-шифровальщиков. Они шифруют всю информацию на своих серверах, а хакеры требуют выкуп за ее разблокировку. Такие инциденты наносят прямой финансовый ущерб, нарушают инфраструктуру и способность банков осуществлять свою деятельность», — говорит Волков. Согласно исследованию Group-IB, в конце 2020 — начале 2021 года было обнаружено 127 атак вирусов-шифровальщиков на мировые финансовые компании, по сравнению с В тот же период их было менее 50.

Чтобы защитить себя от хакерских атак, банкам необходимо оценить основные векторы потенциальных атак, сказал Волков. Также важно контролировать все внешние сетевые периметры и средства удаленного доступа.