В России хакеры слали зараженные письма банкам и предприятиям

Четверг, 6 декабря 2018, 08:08

Хакеры по меньшей мере с 11 сентября рассылали в российские банки письма с поддельных e-mail-адресов государственных учреждений Российской Федерации.

В письмах содержался троян RTM для кражи денег из сервисов дистанционного банковского обслуживания и платежных систем, сообщила РБК компания по кибербезопасности Group IB.

Адресатами писем были не только банки, но и промышленные и транспортные компании.

За четыре месяца хакеры отправили около 11 тысяч сообщений, большая часть из них пришлась на ноябрь, меньшая – на декабрь.

Авторы писем выдавали себя за региональные управления Министерства труда, Роспотребнадзора, Россельхознадзора, ФСИН и другие государственные учреждения РФ.

В качестве тем писем указывалось: "Копии документов", "Служебная записка" и т.п. К каждому письму прилагался архив с трояном.

"Схема хищения простая: RTM скачивает и запускает средства удаленного управления компьютером, после чего создается платежное поручение и отправляется в систему ДБО либо через зараженный компьютер, либо с компьютера злоумышленника", – отметили в Group IB.

По оценке экспертов, в среднем атака на одно юридическое лицо приносила хакерам более 1 миллиона рублей.

О вредоносных письмах в российские банки Group IB сообщала и 15 ноября. Тогда указывалась, что послания под видом официальных сообщений ЦБ получило около 50 банков, а также несколько финансовых учреждений за рубежом.

По данным "Лаборатории Касперского", вирус использовала группировка The Silence, в которую входят русскоязычные хакеры.

Она и ранее занималась нападениями на банки в России, Украине, Белоруссии, Азербайджане, Польше, Казахстане и Великобритании, а также на системы управления банкоматами, карточный процессинг и российскую систему межбанковских переводов АРМ КБР.

В конце октября атаку на российские банки провела еще одна группировка хакеров – MoneyTaker. В ходе этой атаки с поддельного адреса "ФинЦЕРТ", структуры департамента информационной безопасности ЦБ, также были разосланы письма с опасными вложениями, замаскированными под соглашение о взаимодействии с ЦБ по вопросам мониторинга.

Также стало известно о кибератаке на 8 банков в Восточной Европе с помощью вируса DarkVishnya. По данным специалистов "Лаборатории Касперского", они понесли ущерб в несколько десятков миллионов долларов. Хакеры применяли гаджеты с вредоносным ПО, которые внедряли в здания банков или подключали к корпоративным сетям.