Positive Technologies представила детальный отчёт о том как украсть миллионы из банка

Компания Positive Technologies выпустила в свет отчёт об инциденте кражи финансовых средств со счетов одного из российских банков, в ходе данного инцидента за одну единственную ночь из шести банкоматов одной финансовой организации были украдены миллионы рублей. Избежать более крупных потерь банку помогла нелепая случаность, вредоносные инструменты конфликтовали с программным обеспечением банкоматов компании производителя NCR, из-за чего преступники не смогли в полной мере выполнить задуманное преступление по краже финансовых средств.

Выложенные в сеть результаты исследования экспертов Positive Technologies, помогают нам осознать несколько важных аспектов, которые характерны для кибератак нынешнего поколения на финансовые организации, в частности банки.

1. Преступники стали значительно чаще использовывать хорошо всем известные инструменты для взлома и встроенный функционал операционных систем. В этом конкретном случае использовали программное обеспечение Cobalt Strike, в состав которого входил троян Beacon, у которого довольно широкие возможности для удалённого управления операционными системами. Помимо этого использовали целый ряд программ и приложений Team Viewer, Ammyy Admin, SoftPerfect Network Scanner, PsExec, Mimikatz.

2. Преступники продолжают использывать массовые фишинговые рассылки и это остатёся самым успешным методом атаки, так как большинство сотрудников не обладают необходимым уровнем знаний в вопросах информационной безопасности. Для начала атаки зачастую используют запуск файла documents.exe, который хранится в RAR-архиве, который в свою очередь присылают по старинке по электронной почте, какому-либо сотруднику банка в письме. Рассылка спам писем по всем известным адресам почт сотрудников банка велась несколько месяцев, с единственной целью заразазить как можно большее количество компьютеров в системе банка. Вредоносное программное обеспечение в итоге запустили сразу несколько сотрудников банка, заражение же произошло из-за не работающего анти-вируса или устаревших баз данных на нём.

3. Атаки по довольно конкретно выбранным целям становятся гораздо более организованными и распределёнными по времени. Начало атаки пришлось на первую неделю августа, а в уже в начале сентября после того как вирус осел в инфраструктуре банка началась массовая атака на компьютеры сотрудников, отвественных за банкоматы и платёжные карты. Только в начале октября преступники загрузили своё вредоносное ПО на сами банкоматы и начали осуществлять кражу денежных средств, оператор отправлял команду банкоматам выдавать деньги, в это время подставные лица, известные в этйо среде как дропы, просто забирали их.

Атаки на клиентов банка уже не так эффективны, логичнее взять в цель весь банк целиком, преступники поняли, что далеко не каждый банк вкладывает необхъодимые деньги в свою безопасность, а многие банки делают это ради галочки, для того чтобы просто соответствовать стандартам. Так считает Максим Филиппов, директор по развитию бизнеса Positive Technologies в России.

Positive Technologies в ходе своего экспертного расследования собрали множество хостовых и сетевых индикаторов компрометации, они были направлены в Банк России с целью предоставления данной информации среди финансовых компаний для предотвращения вариаций похожей атаки в будущем.