Перед новогодними праздниками банки и банкоматы ранимы для атак мошенников, рассказали эксперты. ЦБ предупредил банки о возможности штурмов на банкоматы без физического воздействия — с помощью писем от банков и органов воли
Крупные российские банки могут подвергнуться масштабной кибератаке перед Новоиспеченным годом, рассказали РБК специалисты компании Group-IB и «Лаборатории Касперского». Перед праздниками банкоматы заполнены денежками, а сотрудники банков уделяют меньше внимания безопасности, помечают специалисты. Среди возможных организаторов атак на банкоматы Group-IB, какая специализируется на предотвращении и расследовании киберпреступлений, называет международную группировку Cobalt с российскими корнями.
Банк России известил российские банки о новоиспеченном виде мошенничества, сообщил РБК представитель регулятора.
Преступная группа Cobalt основы атаки в июне 2016 года, указывается в расследовании Group-IB (есть у РБК). Преступники грабят банкоматы без физического воздействия, проникая в локальную сеть банка и получая целый контроль над устройствами, говорится в расследовании Group-IB. По удаленной команде машины начинают выдавать наличность, а заблаговременно подготовленные люди просто собирают деньги в сумки, вытекает из документа Group-IB. В 2016 году злоумышленники уже атаковали банки в России, Великобритании, Нидерландах, Испании, Румынии, Белоруссии, Польше, Эстонии, Болгарии, Грузии, Молдавии, Киргизии, Армении и Малайзии.
‘);
setTimeout(arguments.callee, 50);
return;
}
if (!window.jwplayer) {
s = document.createElement(‘script’);
s.src = «//content.rbc.medialand.ru/templates_r/jwplayer/jwplayer.js»;
s.type = ‘text/javascript’;
parEl.parentNode.insertBefore(s, parEl);
setTimeout(arguments.callee, 50);
return;
}
window.jwplayer.key = ‘t3/gzoTw74tQdZgYlxSwzsrmSt96w0Y8EcIVQw==’;
var styleStr = «»;
styleStr += «width : auto;»; //2006
try {
if (true === parent.rosbusinessconsulting.config.get(‘articleColumn’)) {
styleStr += » margin-right : 0;»;
}
} catch (e) {}
try {
if (!parent.deviceType) {
if (parent.projectVersion == ‘rbc7’ || parent.bannersVersion == ‘v7’) {
styleStr += » margin : 0px -110px 0px 0px;»;
} else {
styleStr += » margin : 0px -216px 0px 0px;»;
}
}
} catch (e) {}
try {
if (parent.projectVersion == ‘rbc7’ || parent.bannersVersion == ‘v7’) {
styleStr += ‘ max-width: 770px;’;
}
} catch (e) {}
parEl.style.display=’block’;
parEl.style.cssText += styleStr;
parEl.innerHTML = »;
s = document.createElement(‘script’);
s.src = «//static.videonow.ru/vn_init.js»;
s.setAttribute(«data-profile», «1351319»);
s.type = ‘text/javascript’;
s.defer = true;
parEl.parentNode.insertBefore(s, parEl);
window.addEventListener(«orientationchange», function() {
setTimeout(function () { window.scrollBy(0,1);} ,200);
})
}
run();
})(random);
} else {
(function(d, url) {
setTimeout(function() {
if (window.dfp_sync_var) return;
var s = document.createElement(‘script’);
s.type = ‘text/javascript’;
s.src = url;
d.parentNode.insertBefore(s, d);
}, 200);
})(d, ‘http://engine.rbc.medialand.ru/code?pid=2006&gid=2&oin=1&rid=’ + random + extra +’&dreferer=’+escape(dreferrer));
}
}
// —>
По этим Group-IB, чтобы проникнуть во внутреннюю сеть банка, Cobalt точечно отправляет в банки электронные послания с вредоносными вложениями. «Фишинговые письма рассылаются от лица Европейского центрального банка, производителя банкоматов Wincor Nixdorf или от имени региональных банков», — уточняет Group-IB. Но на самом деле послания приходят с двух серверов с программой, изменившей адрес отправителя, при этом ЕЦБ, производитель банкоматов и региональные банки никакого взаимоотношения к этой рассылке не имеют.
Оба сервера, с которых рассылались послания, по данным Group-IB, находятся в России. В частности, для распространения вредоносных программ по банкам в русскоговорящем сегменте правонарушители использовали вложения с названиями «Договор_хранения2016.zip» и «Список документов.doc», указывается в расследовании.
После того как сотрудник банка запускает файл из фальшивого послания, вредоносное вложение загружается в оперативную память компьютера. «Это означает, что после перезагрузки операционной системы атакующие теряли контроль над этим компьютером», — строчит Group-IB. Чтобы «выжить», приложение автоматически прописывалось в автозагрузку. Дальней с помощью разнообразных способов преступники получали доступ к паролям администраторов системы банка. Это могло занимать у них от десяти минут до недели, указывается в расследовании. После атакующие обеспечивали себе удаленный доступ к локальной сети банка и преимущества, позволяющие им делать все, что необходимо для будущей кражи денег из банкоматов. Им требовалось лишь «закрепиться» и наладить резервные каналы доступа, если подозрительная активность будет примечена службами безопасности банка.
По данным Group-IB, после того, как правонарушители получали контроль над локальной сетью банка, они начинали разыскивать сегменты, из которых можно добраться до управления банкоматами. Получив доступ к ним, группировка загружала на конструкции программы, позволяющие управлять выдачей наличных, отмечается в расследовании.
Одинешенек банкомат в несколько минут
Получив доступ к управлению банкоматами, правонарушители подходили к устройствам по выдаче наличных в разных концах города лишь с мобильным телефоном. «Он что-то сообщал по нему своим партнерам и стряпал сумку. Через несколько минут банкомат начинал порциями выдавать денежки. После того как деньги в банкомате заканчивались, человек вторично связывался с партнерами и уходил», — пишет Group-IB. После опустошенный банкомат перезагружался. По этим Group-IB, съемом денег занимались небольшие группы, какие переходили к заранее определенным банкоматам и снимали деньги в течение нескольких часов.
В компании ожидают, что Cobalt может опять активизироваться в России в самое ближайшее время. Группировка основы многочисленные рассылки фишинговых писем с вредоносным вложением в российские банки месяц назад, повествует менеджер по развитию международного бизнеса Group-IB Виктор Ивановский. «Размышляю, что они готовятся к ограблениям банкоматов к Новому году — это идеальное пора для кражи, поскольку банкоматы к праздникам заполнены деньгами по максимуму. Потому мы считаем, что российским банкам необходимо повысить уровень бдительности и подготовиться к вероятным атакам», — говорит Ивановский.
Атака на сети
Эксперт находит, что под угрозой атаки в первую очередь находятся крупные банки с разветвленной сетью банкоматов — от ста до тысячи. В первую очередность злоумышленники будут подбирать банки со слабыми местами в технической защите, сообщает Ивановский.
Поскольку метод Cobalt позволяет опустошить все кассеты банкомата за нахоженные минуты, то потери банков при атаке группировкой могут быть весьма высокими, считает Ивановский. В Европе, по его словам, только с одного банкомата при пролетарии уровне загрузки группировка могла получить минимум €100 тыс. «Но штурмом одного банкомата операция, как правило, не ограничивается», — предупреждает он.
Ивановский прогнозирует, что в грядущем многие грабители сосредоточатся именно на формате краж, как у Cobalt, усердствуя свести к минимуму воздействие на банкоматы и проникая в локальную банковскую сеть. «Грядущей — это ограбление 30–100 банкоматов одновременно, а не одного», — сообщает он.
Поэтому работники банков при малейшем подозрении на вредоносное послание должны обращаться в службу безопасности банка, даже несмотря на, представлялось бы, знакомый домен отправителя, продолжает Ивановский. «Вложения из таких посланий открывать ни в коем случае нельзя. Опасность может воображать даже текстовый файл в формате rtf», — говорит он. По словам Ивановского, всерьез снизить возможность заражения поможет всего лишь своевременное обновление операционной системы и браузера.
Первые случаи штурмов на банки с помощью набора программ Cobalt Strike бывальщины зафиксированы еще в 2014 году, рассказывает ведущий антивирусный эксперт «Лаборатории Касперского» Сергей Голованов. С тех пор активность их использования лишь растет: программы появились в открытом доступе в интернете и стоят $3,5 тыс., продолжает он. По словам Голованова, ущерб от таких штурмов применительно к российским банкам может доходить до сотен миллионов рублей и ограничивается лишь числом тех, кто забирает деньги из банкоматов. Он соглашается с тем, что атака на российские банкоматы может быть предпринята перед Новоиспеченным годом. «В целом можно сказать, что предновогодние дни — период, когда активизируются злоумышленники, так как сотрудники банка, как и все в России, готовятся к долгим выходным и меньше уделяют внимания безопасности», — помечает Голованов.
При этом угрозу для российских банков конкретно от деятельности Cobalt эксперт расценивает как «посредственную». По его мнению, российские банки по сравнению с многими другими довольно хорошо защищены от атак. Однако Голованов уточняет, что в любом случае все зависит от готовности каждого конкретного банка: системы его информационной безопасности, бюджета на IT, подготовки сотрудников.
Затраты на безопасность
Банковский и финансовый сектор был главной целью киберпреступников в течение заключительных нескольких лет. Согласно отчету специализирующегося в сфере информационной безопасности издания Infosecurity, финансовые организации подвергаются кибератакам в три раза пуще по сравнению с компаниями в других отраслях. Чтобы противостоять росту киберпреступности, ведущие зарубежные банки увеличивают затраты на обеспечение безопасности в этой сфере. Ожидается, что по итогам 2016 года всеобщая сумма расходов на кибербезопасность в международном банковском секторе составит $8,3 млрд.
Суммы при этом вырастают из года в год. Например, в 2014 году крупнейший американский банк JP Morgan Chase потратил на кибербезопасность $250 млн. Годом запоздалее аналогичная статья для этой финансовой организации составила уже $500 млн (сообразно оценке The Wall Street Journal).
Что касается российских банков, по словам главу службы кибербезопасности Сбербанка Сергея Лебедя, в 2016 году организация потратила возле 1,5 млрд руб. Сумма сравнима с расходами на кибербезопасность в 2015-м, но в два раза превышает потраченные в этой сфере денежки за 2014 год.
ЦБ известил российские банки
Предновогодней активности злоумышленников ожидают и в Банке России. «Есть вероятность усиления различных обликов атак (включая информационные рассылки, публикации негативного и провокационного нрава в социальных сетях, DDOS-атаки, рассылки вредоносного программного обеспечения и так дальше) в течение декабря 2016 года», — сообщил РБК представитель ЦБ. По его словам, Середина мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере (ФинЦЕРТ) регулярно оповещает всех участников информационного мены о вредоносных рассылках, в том числе якобы от имени банков или органов исполнительной воли. ФинЦЕРТ является структурным подразделением главного управления безопасности и защиты информации Банка России.
Банкиры заявляют, что готовы к вероятным предновогодним атакам на банкоматы, в том числе по методу Cobalt. «Соображая наличие подобных уязвимостей, ВТБ24 уже предпринял необходимые меры по защите своих конструкций», — сказал РБК представитель банка. При этом, по его словам, штурмы на банкоматы ВТБ и ВТБ24 без физического воздействия пока не фиксировались.
В пресс-службе «ФК Открытие» РБК заявили, что банку популярно о деятельности Cobalt, но практически все письма с зараженными вложениями, какие приходят сотрудникам, отсекаются на уровне почтовых фильтров.
В практике Промсвязьбанка бывальщины попытки атак по методу Cobalt, рассказал директор по карточным технологиям банка Александр Петров. «Но в итоге работы средств защиты на различных уровнях инфраструктуры банка они все бывальщины предотвращены», — добавил он.
В Сбербанке от комментариев отказались. Представители еще восьми крупных банков не отозвались на запрос РБК.
