Расследование PT: как украсть у банка миллионы рублей за одну ночь

Расследование PT: как украсть у банка миллионы рублей за одну ночь

Расследование PT: как украсть у банка миллионы рублей за одну ночь

Компания Positive Technologies представила детальный отчет о расследовании одного из инцидентов в банковской сфере, в ходе которого за одну ночь из шести банкоматов финансовой организации были похищены несколько миллионов рублей (эквивалент в местной валюте).

Избежать более крупных потерь банку помогла случайность: инструменты для атаки конфликтовали с ПО банкоматов компании NCR, из-за чего злоумышленникам не удалось выполнить свои задачи по выводу денег полностью.

Опубликованные результаты расследования, проведенного экспертами Positive Technologies, позволяют отметить несколько нюансов, характерных для современных кибератак на финансовые организации:

  1. Злоумышленники все чаще используют известные инструменты и встроенную функциональность операционных систем. В данном случае использовалось коммерческое ПО Cobalt Strike, включающее многофункциональный троян Beacon класса RAT (Remote Access Trojan), обладающий широкими возможностями по удаленному управлению системами. Также были использованы программа Ammyy Admin, приложения Mimikatz, PsExec, SoftPerfect Network Scanner и Team Viewer.
  2. Использование фишинговых рассылок остается одним из успешных векторов атаки в силу недостаточного уровня осведомленности работников в вопросах ИБ. Вектор заражения инфраструктуры банка основывался на запуске файла documents.exe из RAR-архива, присланного по электронной почте одному из сотрудников и содержащего вредоносное ПО. Целенаправленная рассылка электронных писем, имитировавших финансовую корреспонденцию и сообщения от службы ИБ, велась на протяжении месяца. Запуск файла из фишинговых писем в разное время осуществили сразу несколько сотрудников, а заражение произошло из-за отключенного (или использовавшего устаревшие базы) антивируса на рабочей станции одного из них.
  3. Таргетированные атаки становятся все более организованными и распределенными во времени. Расследование показало, что старт атаки пришелся на первую неделю августа. В начале сентября (после закрепления в инфраструктуре) начались атаки с целью выявления рабочих станций сотрудников, ответственных за работу банкоматов и использование платежных карт. И только в первых числах октября злоумышленники загрузили вредоносное ПО на банкоматы и осуществили кражу денежных средств: оператор отправлял команду на банкоматы, а подставные лица (дропы) в условленный момент забирали деньги.

«Атаки на клиентов банка сегодня отходят на второй план, уступая дорогу атакам на сетевую инфраструктуру банков. Злоумышленники осознали, что далеко не все финансовые организации достаточно инвестируют в свою безопасность, а некоторые делают это лишь "для галочки", с целью соответствия требуемым стандартам», — комментирует результаты расследования Максим Филиппов, директор по развитию бизнеса Positive Technologies в России.

В ходе расследования инцидента экспертами Positive Technologies было собрано множество хостовых и сетевых индикаторов компрометации, которые были направлены в FinCERT Банка России с целью распространения данной информации среди финансовых организаций и предотвращения подобных атак в будущем.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Минцифры предлагает предоставлять отсрочки ИТ-специалистам без дипломов

Минцифры предложило расширить перечень ИТ-специалистов, имеющих право на отсрочку от призыва в армию. Нововведения касаются тех, кто окончил обучение, но на момент формирования списков ещё не получил диплом о высшем образовании.

Соответствующий проект опубликован на Портале проектов нормативных актов. К уже действующим критериям планируется добавить два новых:

  • Право на отсрочку получат сотрудники аккредитованных ИТ-компаний, завершившие обучение, но не имеющие диплома на момент формирования списков Минцифры (например, если выпуск состоялся в январе, а диплом будет выдан в феврале). В этом случае документ необходимо будет предоставить в призывную комиссию отдельно;
  • В перечень ИТ-специальностей для получения отсрочки предложено включить дополнительные направления: магистратуру по специальностям «Радиофизика» и «Статистика», бакалавриат по направлению «Ядерная физика и технологии» и ряд других.

«Изменения помогут молодым специалистам без перерыва строить карьеру в ИТ, а также позволят сохранить квалифицированные кадры в отрасли. При этом новые правила не создадут дополнительной нагрузки для бизнеса», — отметили в Минцифры.

Если поправки будут приняты, они вступят в силу с 2026 года и не затронут осенний призыв 2025 года.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru