Спустя год после раскрытия масштабного киберограбления, совершенного группировкой Carbanak, «Лаборатория Касперского» зафиксировала новые случаи использования методов нашумевших киберпреступников. Эксперты компании обнаружили, что «на арене» появились еще две команды, работающие в том же стиле. В настоящее время все они в основном атакуют и грабят банки и финансовые организации в России. Отличительной особенностью атак является использование тактик и технологий advanced persistent threat (APT), применяемых в профессиональных кампаниях кибершпионажа, спонсируемых государствами. Однако целью преступников является не получение данных, а кража денег.
Так, кибергруппировка Metel отличилась интересной схемой вывода денег: злоумышленники получают контроль над теми ресурсами внутри банка, которые имеют доступ к системам, управляющим денежными транзакциями (например, компьютеры клиентской поддержки), и настраивают автоматический откат операций, совершаемых через банкоматы. Таки образом, даже если преступники будут постоянно снимать деньги через банкоматы, баланс на их счетах останется постоянным, сколько бы транзакций в банкомате не было совершенно. До настоящего времени «Лаборатория Касперского» не зафиксировала ни одной атаки Metel за пределами России. Зато группировка активно «гастролировала» по российским городам России и в течение всего одной ночи снимала через банкоматы крупные суммы с карт, выпущенных скомпрометированным банком.
Другая группировка, GCMAN проявила себя непревзойденным мастером скрытности. Иногда ее успешные атаки не используют вообще никакого вредоносного ПО, полагаясь лишь на легитимные технологии и инструменты тестирования системы на проникновение. Так, в ряде случаев атакующие использовали утилиты Putty, VNC и Meterpreter, позволившие им добраться до компьютера, который мог быть задействован в переводе денег на сервисы криптовалют без оповещения других систем банка. Каждую минуту группировка GCMAN способна переводить до 200 долларов США – лимит для анонимных платежей в России. Все украденные деньги киберпреступники переводят на криптовалютные счета так называемых «дропов» – специально нанятых людей, которые занимаются обналичиванием.
Наконец, возродившаяся в2015 году группировка Carbanak по-прежнему использовала инструменты, характерные для сложных атак класса АРТ, однако расширила свои интересы. Теперь киберпреступники атакуют не только банки, но также финансовые и бюджетные департаменты любых организаций. В одном из случаев, зафиксированных «Лабораторией Касперского», группировка проникла в корпоративную сеть финансовой организации, регистрирующей данные о владельцах различных компаний, и изменила информацию об одном из них на данные своего «дропа».
«Киберпреступники начинают активно использовать сложные инструменты, применяемые в кампаниях кибершпионажа и АРТ-атаках. Злоумышленники все чаще они предпочитают атаковать не пользователей, а непосредственно банки, – поясняет Сергей Голованов, ведущий антивирусный эксперт «Лаборатории Касперского». – Мы стремимся указать, где и как именно киберпреступники смогут нанести удар с целью украсть деньги. Поэтому зная, например, о стиле GCMAN, стоит проверить, насколько хорошо обеспечена безопасность банковских серверов, а в случае с Carbanak внимание стоит уделить защите баз данных, в которых содержится не только информация о балансе, но также сведения о собственниках счетов».
г. Москва, улица 8 марта, дом 1, строение 12 (БЦ Трио, первая башня)
+7 495 730-2969 info@tcinet.ru
+7 495 730-2970