ЦБ предупредил банки о новой угрозе
9 мая 2018 г. — Банки России
Подразделение Банка России по кибербезопасности (ФинЦЕРТ) на днях в рамках информационного обмена уведомило банки о новой угрозе. В сообщении говорится о фишинговой рассылке вредоносного программного обеспечения (ВПО) с трояном intel security.exe. Эксперты уверены, что данный вредонос принадлежит преступной группировке Silence («Тишина»), которая в 2017 году атаковала банки в России, Армении и Малайзии, пишет «Коммерсант».
«Специфика данного вредоносного вложения более чем сходна с теми, что использует Silence, — отметил руководитель экспертного центра безопасности Positive Technologies Алексей Новиков. — Каждая такая группировка имеет свои особенности, поэтому классифицировать их с технической точки зрения вполне возможно».
В Банке России подтвердили факт сообщения о вредоносе. «Использование ВПО этого типа наблюдается с весны 2017 года, ФинЦЕРТ фиксировал случаи его распространения еще до того, как оно было классифицировано как Silence, — отметили в ЦБ. — 20 октября 2017 года был выпущен бюллетень с описанием ВПО и правилами обнаружения».
Тем не менее до последнего времени о Silence почти не говорили. До конца марта 2018 года главной угрозой для банков в России считалась группировка Cobalt. В 2017 году она совершила 240 атак на российские кредитные организации, из которых 11 завершились успехом и хищением более 1 млрд рублей. Но после задержания главы группировки ее деятельность приостановилась.
Хотя официальных заявлений о «жертвах» Silence не было, эксперты допускают, что именно она совершила часть атак, которые приписывают Cobalt. Примером могут быть атаки с выводом средств через SWIFT. «Все помнят атаку в декабре 2017 года на банк «Глобэкс», — рассказывает источник издания в правоохранительных органах. — Сразу вслед за «Глобэксом», тоже в декабре 2017 года, был атакован еще один банк, и злоумышленники пытались вывести средства (безуспешно) также через SWIFT». И в этом банке были обнаружены две рассылки с вредоносом — и от Cobalt, и от Silence.
В ЦБ отмечают, что у всех ВПО, используемых для атак на банки, примерно одинаковые принципы работы, а у использующих их лиц примерно одинаковые цели. Поэтому, добавляют там, для принятия первоочередных мер по пресечению атаки важно не название группировки, а индикаторы компрометации конкретной атаки.