Хакеры украли $25 млн у 13 российских банков
Группировка Buhtrap может быть причастна к атаке на МеталлинвестбанкВ начале марта Металлинвестбанк сообщил о кибератаке: хакеры вывели с корсчета банка 667 млн руб. Часть средств удалось вернуть, и ущерб составил около 200 млн руб. К атаке на банк могла быть причастна группировка под названием Buhtrap, сообщил «Ведомостям» гендиректор компании Group-IB (расследование киберпреступлений) Илья Сачков. Это не единственная успешная атака: по данным Group-IB, в ходе 13 атак на российские банки с августа 2015 г. по февраль 2016 г. эта группировка украла $25 млн.
Buhtrap известна с 2014 г. Тогда она взламывала банк-клиенты, а целевыми атаками на банки группировка занялась позже. С тех пор ущерб от ее действий растет: в свою первую атаку в августе прошлого года хакеры украли у одного из банков 25,6 млн руб., следует из отчета Group-IB. Заметно, что хакеры набрались опыта: они научились быстрее находить дорогу к АРМ КБР (автоматизированное рабочее место клиента Банка России. – «Ведомости»), что способствует успешности атаки, говорит директор департамента киберразведки Group-IB Дмитрий Волков.
По его мнению, Buhtrap хочет украсть у одного банка именно 1 млрд руб. – такую сумму они пытались вывести несколько раз и всегда банкам удавалось или предотвратить хищение, или вернуть часть украденных средств.
В отличие от других хакерских группировок Buhtrap не интересуют онлайн-системы денежных переводов, банкоматы и платежные шлюзы. Группировка пользуется специальным вирусом, обученным искать и заражать АРМ КБР (до денег Металлинвестбанка в итоге добрались именно через АРМ КБР). Чаще всего этот вирус попадает в IT-инфраструктуру банка с помощью фишинговых писем якобы от Центробанка, сказано в отчете Group-IB. Фишинг позволяет выдавать письма с вредоносным кодом за сообщения от адресата, которому доверяет пользователь.
Во вторник сотни банков подверглись атаке. Они получили вредоносные письма якобы от FinCert – одной из структур ЦБ, занимающейся борьбой с хакерами. Письма предупреждали об атаке на банк через АРМ КБР. Волков заявляет, что к этому инциденту также причастна Buhtrap.
Целевые атаки технически сложны: они разрабатываются для каждого конкретного банка и вручную управляются оператором, отмечает Волков. Поэтому такой вредоносный код умеет обходить антивирусы и другие средства защиты, говорит эксперт. В своем отчете Group-IB объясняет успех Buhtrap недостатком знаний банковской отрасли о целевых атаках, поэтому банки и не могут принять адекватные ответные меры. То, что при этом банки слишком полагаются на привычные меры безопасности, лишь облегчает задачу киберпреступникам. Представитель ЦБ сообщил, что в компетенцию ЦБ не входит оценка причастности криминальных групп к той или иной атаке.