Group-IB: хакеры похитили деньги у одного из банков России с его корсчета в ЦБ
В этом году хакеры похитили более полумиллиарда рублей у одного из российских банков не из первой сотни рейтинга, сообщила компания Group-IB в своем отчете. Установлено, что атаку совершила группировка MoneyTaker, которая в 2018-м украла десятки миллионов рублей у ПИР Банка.
«После долгого затишья группа MoneyTaker успешно атаковала российский банк. Очевидно, что злоумышленники на этом не остановятся и будут продолжать атаковать АРМ КБР», – говорится в отчете Group-IB, на который обратило внимание издание РБК.
Атака была совершена через автоматизированное рабочее место банка в Центробанке, причем началась она еще в июне 2020-го, предположительно, через физическое устройство, установленное в аффилированной сети. В дальнейшем хакеры получили доступ к сети банка и еще на протяжении полугода исследовали ее. В итоге в январе 2021-го злоумышленники получили доступ к системе межбанковских переводов и украли цифровые ключи.
«Вручную скопировали поддельные подписанные платежи в специальную папку в системе АРМ КБР», – отмечает Group-IB. Было похищено более 500 млн руб.
Название организации специалисты Group-IB не уточнили, однако РБК со ссылкой на собственный источник на рынке кибербезопасности пишет, что пострадавший – действующий «не очень крупный банк». В результате инцидента Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере (подразделение Банка России) направил этому банку информационный бюллетень.
CEO Group-IB Дмитрий Волков рассказал РБК, что риск повторения подобных атак существует, однако это маловероятно. В будущем, как он считает, наибольшую угрозу российским банкам будут нести «атаки операторов программ-шифровальщиков».
Кто такие MoneyTaker
Хакерская группа работает на русском языке, первые упоминания о ней датируются 2016 годом. За это время членов группировки так и не удалось установить. По имеющейся информации, MoneyTaker совершила не меньше 22 атак на кредитные компании, большая часть из которых – из США, также известно об атаках на российские и британские банки.
Инцидент 2018-го
Наибольшую известность MoneyTaker принесла атака на российский ПИР Банк. Как сообщал «Коммерсантъ», сумма ущерба составила 58 млн рублей.
В Сбербанке, в свою очередь, заявляли, что за атакой стоит группа Carbanak, однако Group-IB эту информацию отрицает. По их сведениям, злоумышленники из MoneyTaker использовали вывод средств ПИР Банка веерной рассылкой на счета пластиковых карт физических лиц, большая часть из которых была обналичена в день хищения.
На тот момент ПИР Банк занимал 296-е место в системе российских банковских организаций. Банк России впоследствии отозвал у компании лицензию, сославшись на обнаруженные многочисленные нарушения законодательства. При этом на протяжении 2018 года Банк России неоднократно ограничивал деятельность ПИР Банка.
США и Group-IB
Руководство компании Group-IB, выпустившей отчет, также подозревают в хакерских атаках. Минюст Соединенных Штатов в 2020-м обвинил одного из топ-менеджеров Group-IB Никиту Кислицина в киберпреступлениях. Согласно их версии, специалист причастен к взлому онлайн-сервиса вопросов и ответов Formspring в 2012 году. Его дело относится к расследованию против гражданина России Евгения Никулина, осужденного на семь лет в США за взлом компьютерных систем компаний LinkedIn, Dropbox и Formspring и последующую продажу личных данных пользователей.
Group-IB эти обвинения категорически отрицает.
Еще одно дело на руководство компании заведено в России. Основатель компании Илья Сачков 28 сентября был арестован на два месяца по подозрению в госизмене.