Инцидент произошел 3 июля с использованием АРМ КБР (автоматизированное рабочее место клиента Банка России). По заявлению банка, денежные средства выведены веерной рассылкой на пластиковые карты физических лиц в 17 банках из топ-50, большая часть денежных средств обналичена уже в ночь хищения. После этого злоумышленники попытались закрепиться в сети банка для подготовки последующих атак, однако вовремя были обнаружены.

«В рамках произошедшего инцидента специалисты компании Group-IB в максимально короткие сроки помогли установить предполагаемый источник атаки, выстроить цепочку событий, а также локализовать проблему. На данный момент банк работает в штатном режиме, все рекомендации компании Group-IB применяются и будут применяться в работе банка, чтобы не допустить подобных инцидентов в будущем», — рассказала Ольга Колосова, председатель правления ПИР Банка.

Исследовав зараженные рабочие станции и сервера финансовой организации, криминалисты Group-IB собрали неопровержимые цифровые доказательства причастности к краже хакеров из MoneyTaker. В частности, экспертами были обнаружены инструменты, которые ранее уже использовала группа MoneyTaker для проведения атак на банки, вредоносные программы, позволяющее однозначно атрибутировать инцидент, IP-адреса, с которых проводилось управление вредоносными программами, а также сам метод проникновения в сеть.

Рекомендации по предотвращению подобных атак направлены финансовым организациям — клиентам и партнерам Group-IB, в том числе в ЦБ России.

MoneyTaker представляет не меньшую угрозу, чем группа Cobalt, названная ЦБ главной угрозой российских банков. Поскольку в большинстве успешных атак MoneyTaker точкой входа являлись маршрутизаторы, необходимо в первую очередь проверить их на наличие актуальной прошивки, на возможность перебора паролей и способность оперативно обнаруживать факт изменения конфигурации маршрутизатора, сообщают в Group-IB.

Источник: ПЛАС