menu
menu
logo

Carbanak вернулся – и даже не один

Спустя год после раскрытия масштабного киберограбления, совершенного группировкой Carbanak, «Лаборатория Касперского» зафиксировала новые случаи использования методов нашумевших киберпреступников. Эксперты компании обнаружили, что «на арене» появились еще две команды, работающие в том же стиле. В настоящее время все они в основном атакуют и грабят банки и финансовые организации в России. Отличительной особенностью атак является использование тактик и технологий advanced persistent threat (APT), применяемых в профессиональных кампаниях кибершпионажа, спонсируемых государствами. Однако целью преступников является не получение данных, а кража денег.

Так, кибергруппировка Metel отличилась интересной схемой вывода денег: злоумышленники получают контроль над теми ресурсами внутри банка, которые имеют доступ к системам, управляющим денежными транзакциями (например, компьютеры клиентской поддержки), и настраивают автоматический откат операций, совершаемых через банкоматы. Таки образом, даже если преступники будут постоянно снимать деньги через банкоматы, баланс на их счетах останется постоянным, сколько бы транзакций в банкомате не было совершенно. До настоящего времени «Лаборатория Касперского» не зафиксировала ни одной атаки Metel за пределами России. Зато группировка активно «гастролировала» по российским городам России и в течение всего одной ночи снимала через банкоматы крупные суммы с карт, выпущенных скомпрометированным банком.

Другая группировка, GCMAN проявила себя непревзойденным мастером скрытности. Иногда ее успешные атаки не используют вообще никакого вредоносного ПО, полагаясь лишь на легитимные технологии и инструменты тестирования системы на проникновение. Так, в ряде случаев атакующие использовали утилиты Putty, VNC и Meterpreter, позволившие им добраться до компьютера, который мог быть задействован в переводе денег на сервисы криптовалют без оповещения других систем банка. Каждую минуту группировка GCMAN способна переводить до 200 долларов США – лимит для анонимных платежей в России. Все украденные деньги киберпреступники переводят на криптовалютные счета так называемых «дропов» – специально нанятых людей, которые занимаются обналичиванием.

Наконец, возродившаяся в2015 году группировка Carbanak по-прежнему использовала инструменты, характерные для сложных атак класса АРТ, однако расширила свои интересы. Теперь киберпреступники атакуют не только банки, но также финансовые и бюджетные департаменты любых организаций. В одном из случаев, зафиксированных «Лабораторией Касперского», группировка проникла в корпоративную сеть финансовой организации, регистрирующей данные о владельцах различных компаний, и изменила информацию об одном из них на данные своего «дропа».

«Киберпреступники начинают активно использовать сложные инструменты, применяемые в кампаниях кибершпионажа и АРТ-атаках. Злоумышленники все чаще они предпочитают атаковать не пользователей, а непосредственно банки, – поясняет Сергей Голованов, ведущий антивирусный эксперт «Лаборатории Касперского». – Мы стремимся указать, где и как именно киберпреступники смогут нанести удар с целью украсть деньги. Поэтому зная, например, о стиле GCMAN, стоит проверить, насколько хорошо обеспечена безопасность банковских серверов, а в случае с Carbanak внимание стоит уделить защите баз данных, в которых содержится не только информация о балансе, но также сведения о собственниках счетов».

RIGF 2025: Обсуждение ключевых вопросов управления интернетом в России
RIGF 2025: Обсуждение ключевых вопросов управления интернетом в России
В Москве завершил свою работу 15-й Российский форум по управлению Интернетом
Продажа домена Zip.ai возглавила новый выпуск рейтинга крупнейших доменных сделок
Продажа домена Zip.ai возглавила новый выпуск рейтинга крупнейших доменных сделок
Ресурс DN Journal обновил свой рейтинг
ТЦИ поздравляет с Днем рождения российского Интернета!
ТЦИ поздравляет с Днем рождения российского Интернета!
Сегодня мы отмечаем знаменательную дату — 31 год с момента регистрации первого домена в зоне .RU
ТЦИ рассказал о новых технологиях и стандартах своего Центра сертификации, приняв участие в конференции АДЭ
ТЦИ рассказал о новых технологиях и стандартах своего Центра сертификации, приняв участие в конференции АДЭ
C 2 по 3 апреля в Москве состоялась XXIII ежегодная конференция Ассоциации документальной электросвязи (АДЭ) на тему «Обеспечение доверия и безопасности при использовании ИКТ». В мероприятии приняли участие представители ТЦИ.

Контакты

г. Москва, улица 8 марта,
дом 1, строение 12 (БЦ Трио, первая башня)

+7 495 730-2969
info@tcinet.ru

Клиентская служба

+7 495 730-2970

vk-img ВКонтакте