Российские банки столкнулись с новыми ограблениями

Российские банки столкнулись с новыми ограблениями

Спустя год после раскрытия масштабного киберограбления, совершенного группировкой Carbanak, «Лаборатория Касперского» зафиксировала новые случаи использования методов нашумевших киберпреступников.

Эксперты компании обнаружили, что «на арене» появились еще две команды, работающие в том же стиле, – Metel и GCMAN, а, кроме того, и сама группа Carbanak возобновила свою активность. В настоящее время все они в основном атакуют и грабят банки и финансовые организации в России. 

Отличительной особенностью атак, за которыми стоят эти организаторы, является использование тактик и технологий, применяемых в профессиональных кампаниях кибершпионажа, спонсируемых государствами. Вот только целью преступников является не получение данных, а кража денег с банковских счетов. Помимо этого, группировки активно используют в своих атаках легальное ПО, что помогает им не тратить время и силы на разработку специального софта, а также позволяет минимизировать риск обнаружения в зараженной системе. Кроме того, преступники изобрели новые схемы обналичивания украденных денег.    

Metel

В активе кибергруппировки Metel имеется немало интересных уловок и тактик, но по-настоящему она отличилась интересной схемой вывода денег из банка: злоумышленники получают контроль над теми ресурсами внутри банка, которые имеют доступ к системам, управляющим денежными транзакциями (например, компьютеры клиентской поддержки), и настраивают автоматический откат операций, совершаемых через банкоматы. Следовательно, даже если преступники будут постоянно снимать деньги через банкоматы, баланс на их счетах останется постоянным, сколько бы транзакций в банкомате не было совершенно. 

В ходе своего расследования эксперты «Лаборатории Касперского» выяснили, что бандитская группировка разъезжала по городам России и в течение всего одной ночи снимала через банкоматы крупные суммы с карт, выпущенных скомпрометированным банком. А это, в свою очередь, свидетельствует о том, что активная фаза кибератак в целом стала короче: как только злоумышленники понимают, что они подготовили все необходимое для достижения своей цели, они получают все, что им нужно, и сворачивают операцию в течение считаных дней или даже часов. 

Для того же чтобы попасть в корпоративную сеть банка, группировка Metel рассылает фишинговые письма с вредоносными вложениями или использует эксплойт Niteris, заражающий устройства через открытые уязвимости в браузерах. Дальше, в случае успеха, киберпрестпуники прибегают к помощи легальных технологий для проверки сети на проникновение, получают в свое распоряжение контроллер локального домена и в итоге открывают доступ к компьютерам сотрудников банка, ответственных за обработку транзакций по картам.    

До настоящего времени «Лаборатория Касперского» не зафиксировала ни одной атаки Metel за пределами России. Тем не менее группировка все еще активна, и у экспертов есть основания полагать, что география заражений может быть гораздо шире. Именно поэтому компания рекомендует банкам по всему миру проверить свои IT-системы, чтобы исключить заражение. 

GCMAN

Что касается скрытности, то непревзойденным мастером в этом вопросе оказывается GCMAN. Как выяснили эксперты «Лаборатории Касперского», иногда эта кибергруппировка проводит успешные атаки, не используя вообще никакого вредоносного ПО, полагаясь лишь на легитимные технологии и инструменты тестирования системы на проникновение. Так, в ряде случаев атакующие использовали утилиты Putty, VNC и Meterpreter, позволившие им добраться до компьютера, который мог быть задействован в переводе денег на сервисы криптовалют без оповещения других систем банка. 

Злоумышленники готовятся к ограблению тщательно: в одной из операций, к примеру, они находились в зараженной системе полтора года, прежде чем начать красть деньги. При этом, когда дело доходит до кражи, действуют они крайне быстро. Каждую минуту группировка GCMAN способна переводить до 200 долларов США – лимит для анонимных платежей в России. Все украденные деньги киберпреступники переводят на криптовалютные счета так называемых «дропов» – специально нанятых людей, которые занимаются обналичиванием. Поручения на транзакции в этих случаях направляются напрямую в банковский платежный шлюз и не отображаются ни в одной из внутренних банковских систем.

Carbanak 2.0 

В 2015 году возродившаяся группировка Carbanak по-прежнему использовала инструменты, характерные для сложных атак класса АРТ, однако она расширила свои интересы. Теперь киберпреступники атакуют не только банки, но также финансовые и бюджетные департаменты любых организаций, в частности бухгалтерии. В одном из случаев, зафиксированных «Лабораторией Касперского», группировка проникла в корпоративную сеть финансовой организации, регистрирующей данные о владельцах различных компаний, и изменила информацию об одном из них на данные своего «дропа». 

«Атаки на финансовые организации, которые мы наблюдали на протяжении 2015 года, свидетельствуют о тревожной тенденции: киберпреступники все активнее начинают использовать сложные инструменты, применяемые в кампаниях кибершпионажа и АРТ-атаках. Carbanak был лишь началом. Злоумышленники учатся быстро, и все чаще они предпочитают атаковать не пользователей, а непосредственно банки – ведь деньги хранятся именно там, – поясняет Сергей Голованов, ведущий антивирусный эксперт «Лаборатории Касперского». – Мы стремимся указать, где и как именно киберпреступники смогут нанести удар с целью украсть деньги. Поэтому зная, например, о стиле GCMAN, стоит проверить, насколько хорошо обеспечена безопасность банковских серверов, а в случае с Carbanak внимание стоит уделить защите баз данных, в которых содержится не только информация о балансе, но также сведения о собственниках счетов». 

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

В мессенджере MAX появился цифровой ID

Новая функция позволяет пользователям подтвердить свой возраст и социальный статус в цифровом формате. Подключить её могут все владельцы мессенджера старше 18 лет. Сервис ориентирован на ситуации, где требуется быстрая и удобная верификация без предъявления бумажных документов.

Для создания цифрового ID необходимо пройти подтверждение личности через Единую биометрическую систему. Это можно сделать уже на этапе регистрации, используя заграничный паспорт нового образца.

Цифровой ID пригодится для подтверждения возраста при совершении покупок, требующих соответствующей проверки, а также для подтверждения социального статуса, дающего право на льготы, например, статуса студента или многодетного родителя. Кроме того, сервис можно использовать как пропуск в учебное заведение.

Подтверждение возраста или статуса осуществляется с помощью QR-кода, сформированного на основе данных из Госуслуг. При этом доступ к другим персональным данным исключён. Использование сервиса посторонними невозможно: для подтверждения требуется биометрия, а сам QR-код регулярно обновляется. Цифровой ID также позволяет просматривать реквизиты любых документов, включая паспорт, СНИЛС и ИНН.

Пока сервис работает в тестовом режиме. Первой к нему подключилась розничная сеть «Магнит», в дальнейшем список участников будет расширяться.

Введение цифрового ID не отменяет бумажные документы. Они сохраняют юридическую силу и продолжат использоваться, а цифровой формат станет лишь дополнительным инструментом для подтверждения личности.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru