Silence снова пытается похитить деньги у Российских банков
Центр мониторинга и реагирования на компьютерные атаки ЦБ РФ (ФинЦЕРТ) предупредил банки об участившихся рассылках вредоносного программного обеспечения. Специалисты связывают новую угрозу с деятельностью кибергруппировки Silence, уже попадавшей в поле зрения ИБ-экспертов.
Атака строится через фальсифицированные отправления, маскирующиеся под обычную банковскую переписку.
«Злоумышленники используют инфраструктуру уже зараженных банков и отправляют сообщения от имени их настоящих сотрудников в другие кредитные организации, — отмечает эксперт «Лаборатории Касперского» Сергей Ложкин. — Часто текст фишингового письма выглядит, как стандартный запрос на открытие корреспондентского счета».
В качестве полезной нагрузки выступает троянintel security.exe, который устанавливается на компьютер жертвы после открытия зараженного документа. Для запуска вредоносного кода Silence используют файлы HTMLHelp с расширением .chm. Этот формат обычно используют для контекстных справок, он позволяет отправлять запрос на внешний URL, не уведомляя об этом пользователя.
Далее киберпреступники внедряются в сеть скомпрометированного банка, собирают информацию о работе специализированного ПО и, получив доступ к системе денежных переводов, пытаются вывести средства на свои счета.
Долгое время Silence оставалась в тени преступной группы Cobalt, на счету которой более 100 успешных атак на банки, причинивших суммарный ущерб в $1,2 млрд. Киберпреступники не только выводили деньги через систему SWIFT, но и взламывали банкоматы скомпрометированных финансовых учреждений. Cobalt приостановила свою деятельность после того, как 26 марта 2018 года ее руководителя арестовали в Испании.
Эксперты отмечают, что часть атак, за которыми стоит Silence, могли быть ошибочно отнесены на счет более известной кибергруппировки. Между тем преступники имеют свой, узнаваемый почерк, отличающийся от методов, которые использовала Cobalt.
Последняя ориентировалась на массовую рассылку и эксплуатацию уязвимостей в системном ПО, в то время как атаки Silence носят более направленный характер. В своем исследовании «Лаборатория Касперского» отмечает, что злоумышленники используют методы социальной инженерии для того, чтобы проникнуть в сеть финансовой организации.
В ЦБ признают факт новых атак, однако пока не связывают их с той или иной криминальной группой. Регулятор считает, что в первую очередь необходимо предупредить участников рынка и провести углубленный анализ происшествий.