В Group-IB сообщили, что за хакерской атакой на ПИР Банк стоит группа MoneyTaker

За атакой на российский ПИР Банк, обернувшейся хищением с его счетов десятков миллионов рублей, стоит группа MoneyTaker, сообщила Group-IB, специализирующаяся на предотвращении кибератак и располагающая крупнейшей криминалистической лабораторией в Восточной Европе.

По данным газеты "Коммерсантъ" в ночь с 3 на 4 июля из банка было похищено 58 млн рублей. Глава Сбербанка, российского лидера по внедрению информационных технологий, Герман Греф заявлял, что атаку на ПИР Банк совершила группа Carbanak.

Однако Group-IB, конкурент "дочки" Сбербанка по анализу и предотвращению киберугроз, заявляет, что эта информация не подтвердилась.

"Исследовав зараженные рабочие станции и сервера финансовой организации, криминалисты Group-IB собрали неопровержимые цифровые доказательства причастности к краже хакеров из MoneyTaker", - сообщил ТАСС представитель пресс-службы Group-IB.

"В частности, экспертами были обнаружены инструменты, которые ранее уже использовала группа MoneyTaker для проведения атак на банки, вредоносные программы, позволяющее однозначно атрибутировать инцидент, IP-адреса, с которых проводилось управление вредоносными программами, а также сам метод проникновения в сеть", - сообщила компания.

По данным GIB, деньги из ПИР Банка были выведены веерной рассылкой на счета пластиковых карт физических лиц в банках из топ-50, большая часть средств была обналичена уже в ночь хищения.

Сейчас МВД проводит проверку обстоятельств атаки. Заявление от банка поступило в полицию 10 июля, сообщил ТАСС представитель пресс-центра МВД. Сам банк, по словам его главы Ольги Колосовой, работает в штатном режиме.

Новая угроза

Группа MoneyTaker, на счету которой до этого года в России было пять ставших известными хищений, не менее опасна, чем группа Cobalt, которую ЦБ в свое время назвал главной киберугрозой российских банков, полагают в GIB. По словам руководителя лаборатории компьютерной криминалистики компании Валерия Баулина, инцидент в ПИР Банке был не первой атакой группировки на российский банк, завершившейся выводом денег этом году.

"Нам известно как минимум о трех подобных инцидентах, однако до завершения расследования раскрывать подробности мы не можем", - передала ТАСС его слова пресс-служба Group-IB.

Информацию о способах борьбы с MoneyTaker компания направила финансовым организациям и в Банк России.

Особая схема

У каждой группы своя схема проникновения в систему атакуемой организации и вывода средств, которая зависит от суммы и сценариев обналичивания средств, которые есть у хакеров, говорит Баулин. К примеру, Cobalt делала массовые рассылки фишинговых писем, отправляя зараженные вирусом файлы сотрудникам сотен банков за один раз и затем, проникнув в систему, получала контроль над процессингом по банковским картам и увеличивала лимиты по ним.

MoneyTaker получает доступ к IT-системам через сетевые устройства (маршрутизаторы), программное обеспечение которых своевременно не обновлялось. Из ПИР Банка средства вывели через АРМ КБР с (автоматизированное рабочее место клиента Банка России), заявила Group-IB.

"Нужно понимать, что атаки на АРМ КБР сложны в реализации и проводят их нечасто, поскольку успешно "работать на машине с АРМ КБР" умеют далеко не все. Одной из крупнейших атак подобного рода остается инцидент образца 2016 года, когда хакеры МoneyTaker вывели порядка 120 млн рублей при помощи самописной одноименной программы", - передал через пресс-службу Баулин.

Подробности

Атака на ПИР Банк началась в конце мая, выяснила Group-IB. Предполагаемой точкой входа хакеров стал маршрутизатор, установленный в одном из территориальных подразделений кредитной организации. Воспользовавшись отсутствием своевременных обновлений хакеры смогли подобрать пароль к нему и настроить "туннели" (способ интернет-соединения атакующего и атакуемого устройств), позволившие им получить доступ в локальную сеть банка.

Такой способ проникновения в сеть характерен для группы MoneyTaker, утверждает Group-IB.

"Как минимум трижды хакеры уже использовали эту схему при атаках на банки, имеющие региональную филиальную сеть", - сообщил ТАСС представитель компании.

Проникнув в основную сеть кредитной организации, хакеры сформировали платежные поручения и отправили несколькими траншами деньги "в рейс" на заранее подготовленные счета.

Утром 4 июля ПИР Банк обнаружил многочисленные несанкционированные транзакции на несколько десятков миллионов рублей. В ЦБ обращение банка об остановке трансакций поступило поздно, и оперативно приостановить все финансовые переводы не удалось, сказал ТАСС источник, знакомый с ходом расследования.

ТАСС направил запрос в ЦБ с предложением прокомментировать заявление GIB, ответ пока не получен.