Эксперты предупредили об угрозе атак на банкоматы перед Новым годом

Перед новогодними праздниками банки и банкоматы уязвимы для атак мошенников, выяснил РБК. ЦБ предупредил банки о возможности атак на банкоматы без физического воздействия — с помощью писем от банков и органов власти.

Крупные российские банки могут подвергнуться масштабной кибератаке перед Новым годом, рассказали РБК специалисты компании Group-IB и «Лаборатории Касперского». Перед праздниками банкоматы заполнены деньгами, а сотрудники банков уделяют меньше внимания безопасности, отмечают специалисты. Среди возможных организаторов атак на банкоматы в Group-IB, которая специализируется на предотвращении и расследовании киберпреступлений, называют международную группировку Cobalt с российскими корнями.

Российские банки извещены регулятором о новом виде мошенничества, сообщил РБК представитель Банка России.

Преступная группа Cobalt начала атаки в июне 2016 года, говорится в расследовании Group-IB (имеется у РБК). Преступники грабят банкоматы без физического воздействия, проникая в локальную сеть банка и получая полный контроль над устройствами, говорится в расследовании Group-IB. По удаленной команде машины начинают выдавать наличность, а заранее подготовленные люди просто собирают деньги в сумки, следует из документа Group-IB, пишет rbc.ru.

В этом году ими уже были атакованы банки в России, Великобритании, Нидерландах, Испании, Румынии, Белоруссии, Польше, Эстонии, Болгарии, Грузии, Молдавии, Киргизии, Армении и Малайзии.

Чтобы проникнуть во внутреннюю сеть банка, Cobalt точечно отправляет в банки по электронной почте письма с вредоносными вложениями. «Фишинговые письма рассылаются от лица Европейского центрального банка, производителя банкоматов Wincor Nixdorf или от имени региональных банков», — уточняет Group-IB. Но на самом деле письма приходят с двух серверов с программой, изменившей адрес отправителя, при этом ЕЦБ, производитель банкоматов и региональные банки никакого отношения к этой рассылке не имеют.

Оба сервера, с которых рассылались письма, по данным Group-IB, находятся в России. В частности, для распространения вредоносных программ по банкам в русскоговорящем сегменте преступники использовали вложения с названиями «Договор_хранения2016.zip» и «Список документов.doc», говорится в расследовании.

После того как сотрудник банка запускает файл из фальшивого письма, вредоносное вложение загружается в оперативную память компьютера. «Это означает, что после перезагрузки операционной системы атакующие теряли контроль над этим компьютером», — пишет Group-IB. Чтобы «выжить», приложение автоматически прописывалось в автозагрузку. Дальше с помощью разнообразных способов преступники получали доступ к паролям администраторов системы банка. Это могло занимать у них от десяти минут до недели, говорится в расследовании. После атакующие обеспечивали себе удаленный доступ к локальной сети банка и привилегии, позволяющие им делать все, что необходимо для будущей кражи денег из банкоматов. Им требовалось только «закрепиться» и наладить резервные каналы доступа, если подозрительная активность будет замечена службами безопасности банка.

После того как преступники получали контроль над локальной сетью банка, они начинали искать сегменты, из которых можно добраться до управления банкоматами. Получив доступ к ним, группировка загружала на устройства программы, позволяющие управлять выдачей наличных, говорится в расследовании.

Один банкомат в несколько минут

Получив доступ к управлению банкоматами, преступники подходили к устройствам по выдаче наличных в разных концах города лишь с мобильным телефоном. «Он что-то сообщал по нему своим партнерам и готовил сумку. Через несколько минут банкомат начинал порциями выдавать деньги. После того как деньги в банкомате заканчивались, человек повторно связывался с партнерами и уходил», — пишет Group-IB. После опустошенный банкомат перезагружался. По данным Group-IB, съемом денег занимались небольшие группы, которые переходили к заранее определенным банкоматам и снимали деньги в течение нескольких часов.

В компании ожидают, что Cobalt может снова активизироваться в России в самое ближайшее время. Группировка начала многочисленные рассылки фишинговых писем с вредоносным вложением в российские банки месяц назад, рассказывает менеджер по развитию международного бизнеса Group-IB Виктор Ивановский. «Думаю, что они готовятся к ограблениям банкоматов к Новому году — это идеальное время для кражи, поскольку банкоматы к праздникам заполнены деньгами по максимуму. Поэтому мы считаем, что российским банкам необходимо повысить уровень бдительности и подготовиться к возможным атакам», — говорит Ивановский.

Атака на сети

Эксперт считает, что под угрозой атаки в первую очередь находятся крупные банки с разветвленной сетью банкоматов — от ста до тысячи. В первую очередь злоумышленники будут подбирать банки со слабыми местами в технической защите, говорит Ивановский.

Поскольку метод Cobalt позволяет опустошить все кассеты банкомата за считанные минуты, то потери банков при атаке группировкой могут быть очень высокими, считает Ивановский. В Европе, по его словам, только с одного банкомата при рабочем уровне загрузки группировка могла получить минимум €100 тыс. «Но атакой одного банкомата операция, как правило, не ограничивается», — предупреждает он.

Ивановский прогнозирует, что в будущем многие грабители сосредоточатся именно на формате краж, как у Cobalt, стараясь свести к минимуму воздействие на банкоматы и проникая в локальную банковскую сеть. «Будущее — это ограбление 30–100 банкоматов одновременно, а не одного», — говорит он.

Поэтому работники банков при малейшем подозрении на вредоносное письмо должные обращаться в службу безопасности банка, даже несмотря на, казалось бы, знакомый домен отправителя, продолжает Ивановский. «Вложения из таких писем открывать ни в коем случае нельзя. Опасность может представлять даже текстовый файл в формате rtf», — говорит он. По словам Ивановского, серьезно снизить возможность заражения поможет всего лишь своевременное обновление операционной системы и браузера.

Первые случаи атак на банки с помощью набора программ Cobalt Strike были зафиксированы еще в 2014 году, рассказывает ведущий антивирусный эксперт «Лаборатории Касперского» Сергей Голованов. С тех пор активность их использования только растет: программы появились в открытом доступе в интернете и стоят $3,5 тыс., продолжает он. По словам Голованова, ущерб от таких атак применительно к российским банкам может доходить до сотен миллионов рублей и ограничивается только числом тех, кто забирает деньги из банкоматов. Он соглашается с тем, что атака на российские банкоматы может быть предпринята перед Новым годом. «В целом можно сказать, что предновогодние дни период, когда активизируются злоумышленники, так как сотрудники банка, как и все в России, готовятся к длинным выходным и меньше уделяют внимания безопасности», — отмечает Голованов.

При этом угрозу для российских банков конкретно от деятельности Cobalt эксперт расценивает как «среднюю». По его мнению, российские банки по сравнению с многими другими достаточно хорошо защищены от атак. Однако Голованов уточняет, что в каждом случае все зависит от готовности каждого конкретного банка: системы его информационной безопасности, бюджета на IT, подготовки сотрудников.

Банковский и финансовый сектор был главной целью киберпреступников в течение последних нескольких лет. Согласно отчету специализирующегося в сфере информационной безопасности издания Infosecurity финансовые организации подвергаются кибератакам в три раза чаще по сравнению с компаниями в других отраслях. Чтобы противостоять росту киберпреступности, ведущие зарубежные банки увеличивают расходы на обеспечение безопасности в этой сфере. Ожидается, что по итогам 2016 года общая сумма расходов на кибербезопасность в международном банковском секторе составит $8,3 млрд.

Суммы при этом растут из года в год. Так, например, в 2014 году крупнейший американский банк JP Morgan Chase потратил на кибербезопасность $250 млн. Годом позже аналогичная статья для этой финансовой организации составила уже $500 млн (согласно оценке The Wall Street Journal).

Что касается российских банков, по словам руководителя службы кибербезопасности Сбербанка Сергея Лебедя, в 2016 году организация потратила около 1,5 млрд руб. Сумма сравнима с расходами на кибербезопасность в 2015-м, но в два раза превышает потраченные в этой сфере деньги за 2014 год.

ЦБ известил российские банки

Предновогодней активности злоумышленников ждут и в Банке России. «Есть вероятность усиления различных видов атак (включая информационные рассылки, публикации негативного и провокационного характера в социальных сетях, DDOS-атаки, рассылки вредоносного программного обеспечения и так далее) в течение декабря 2016 года», — сообщил РБК представитель ЦБ. По его словам, Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере (ФинЦЕРТ) регулярно оповещает всех участников информационного обмена о вредоносных рассылках, в том числе якобы от имени банков или органов исполнительной власти. ФинЦЕРТ является структурным подразделением главного управления безопасности и защиты информации Банка России.

В банках заявляют, что готовы к возможным предновогодним атакам на банкоматы, в том числе по методу Cobalt. «Понимая наличие подобных уязвимостей, ВТБ24 уже предпринял необходимые меры по защите своих устройств», — сказал РБК представитель банка. При этом, по его словам, атаки на банкоматы ВТБ и ВТБ24 без физического воздействия пока не фиксировались.

В пресс-службе «ФК Открытие» РБК заявили, что банку известно о деятельности Cobalt, но практически все письма с зараженными вложениями, которые приходят сотрудникам, отсекаются на уровне почтовых фильтров.

В практике Промсвязьбанка были попытки атак по методу Cobalt, рассказал директор по карточным технологиям банка Александр Петров. «Но в результате работы средств защиты на различных уровнях инфраструктуры банка они все были предотвращены», — добавил он.