Российские банки столкнулись с новыми ограблениями

Российские банки столкнулись с новыми ограблениями

Спустя год после раскрытия масштабного киберограбления, совершенного группировкой Carbanak, «Лаборатория Касперского» зафиксировала новые случаи использования методов нашумевших киберпреступников.

Эксперты компании обнаружили, что «на арене» появились еще две команды, работающие в том же стиле, – Metel и GCMAN, а, кроме того, и сама группа Carbanak возобновила свою активность. В настоящее время все они в основном атакуют и грабят банки и финансовые организации в России. 

Отличительной особенностью атак, за которыми стоят эти организаторы, является использование тактик и технологий, применяемых в профессиональных кампаниях кибершпионажа, спонсируемых государствами. Вот только целью преступников является не получение данных, а кража денег с банковских счетов. Помимо этого, группировки активно используют в своих атаках легальное ПО, что помогает им не тратить время и силы на разработку специального софта, а также позволяет минимизировать риск обнаружения в зараженной системе. Кроме того, преступники изобрели новые схемы обналичивания украденных денег.    

Metel

В активе кибергруппировки Metel имеется немало интересных уловок и тактик, но по-настоящему она отличилась интересной схемой вывода денег из банка: злоумышленники получают контроль над теми ресурсами внутри банка, которые имеют доступ к системам, управляющим денежными транзакциями (например, компьютеры клиентской поддержки), и настраивают автоматический откат операций, совершаемых через банкоматы. Следовательно, даже если преступники будут постоянно снимать деньги через банкоматы, баланс на их счетах останется постоянным, сколько бы транзакций в банкомате не было совершенно. 

В ходе своего расследования эксперты «Лаборатории Касперского» выяснили, что бандитская группировка разъезжала по городам России и в течение всего одной ночи снимала через банкоматы крупные суммы с карт, выпущенных скомпрометированным банком. А это, в свою очередь, свидетельствует о том, что активная фаза кибератак в целом стала короче: как только злоумышленники понимают, что они подготовили все необходимое для достижения своей цели, они получают все, что им нужно, и сворачивают операцию в течение считаных дней или даже часов. 

Для того же чтобы попасть в корпоративную сеть банка, группировка Metel рассылает фишинговые письма с вредоносными вложениями или использует эксплойт Niteris, заражающий устройства через открытые уязвимости в браузерах. Дальше, в случае успеха, киберпрестпуники прибегают к помощи легальных технологий для проверки сети на проникновение, получают в свое распоряжение контроллер локального домена и в итоге открывают доступ к компьютерам сотрудников банка, ответственных за обработку транзакций по картам.    

До настоящего времени «Лаборатория Касперского» не зафиксировала ни одной атаки Metel за пределами России. Тем не менее группировка все еще активна, и у экспертов есть основания полагать, что география заражений может быть гораздо шире. Именно поэтому компания рекомендует банкам по всему миру проверить свои IT-системы, чтобы исключить заражение. 

GCMAN

Что касается скрытности, то непревзойденным мастером в этом вопросе оказывается GCMAN. Как выяснили эксперты «Лаборатории Касперского», иногда эта кибергруппировка проводит успешные атаки, не используя вообще никакого вредоносного ПО, полагаясь лишь на легитимные технологии и инструменты тестирования системы на проникновение. Так, в ряде случаев атакующие использовали утилиты Putty, VNC и Meterpreter, позволившие им добраться до компьютера, который мог быть задействован в переводе денег на сервисы криптовалют без оповещения других систем банка. 

Злоумышленники готовятся к ограблению тщательно: в одной из операций, к примеру, они находились в зараженной системе полтора года, прежде чем начать красть деньги. При этом, когда дело доходит до кражи, действуют они крайне быстро. Каждую минуту группировка GCMAN способна переводить до 200 долларов США – лимит для анонимных платежей в России. Все украденные деньги киберпреступники переводят на криптовалютные счета так называемых «дропов» – специально нанятых людей, которые занимаются обналичиванием. Поручения на транзакции в этих случаях направляются напрямую в банковский платежный шлюз и не отображаются ни в одной из внутренних банковских систем.

Carbanak 2.0 

В 2015 году возродившаяся группировка Carbanak по-прежнему использовала инструменты, характерные для сложных атак класса АРТ, однако она расширила свои интересы. Теперь киберпреступники атакуют не только банки, но также финансовые и бюджетные департаменты любых организаций, в частности бухгалтерии. В одном из случаев, зафиксированных «Лабораторией Касперского», группировка проникла в корпоративную сеть финансовой организации, регистрирующей данные о владельцах различных компаний, и изменила информацию об одном из них на данные своего «дропа». 

«Атаки на финансовые организации, которые мы наблюдали на протяжении 2015 года, свидетельствуют о тревожной тенденции: киберпреступники все активнее начинают использовать сложные инструменты, применяемые в кампаниях кибершпионажа и АРТ-атаках. Carbanak был лишь началом. Злоумышленники учатся быстро, и все чаще они предпочитают атаковать не пользователей, а непосредственно банки – ведь деньги хранятся именно там, – поясняет Сергей Голованов, ведущий антивирусный эксперт «Лаборатории Касперского». – Мы стремимся указать, где и как именно киберпреступники смогут нанести удар с целью украсть деньги. Поэтому зная, например, о стиле GCMAN, стоит проверить, насколько хорошо обеспечена безопасность банковских серверов, а в случае с Carbanak внимание стоит уделить защите баз данных, в которых содержится не только информация о балансе, но также сведения о собственниках счетов». 

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Услуги дропов серьезно дорожают

Стоимость банковских карт, используемых для обналичивания денег и прочих сомнительных операций, выросла до 40 тыс. рублей, причем срок жизни не превышает банковский день. Еще несколько месяцев назад такая карта обходилась мошенникам не дороже 6 тыс. рублей.

Как рассказал РБК глава Службы финансового мониторинга и валютного контроля Банка России Богдан Шабля, таких результатов удалось достичь благодаря взаимодействию регулятора с банками.

«По нашим оценкам, за текущий год стоимость дропперской карты в последние месяцы выросла в пять-шесть раз — с 5-6 тыс. до 30-40 тыс. руб., а счета дропов сейчас приходится менять сотнями и тысячами в день, банки научились быстро их блокировать. Мы внедрили процедуры онлайн-контроля, использующие технологии искусственного интеллекта, быстро выявляющие операции дропов. В последние месяцы большинство крупных банков научились выявлять дропов в течение одного дня, а некоторые — в считаные минуты. В результате мы совместно с банками за этот год значительно продвинулись, объемы переводов между физлицами по счетам дропов к концу этого года снизились почти в три раза», — отметил Богдан Шабля.

Карты дропов активно используют теневые финансовые площадки. Одну из крупнейших таких платформ Trust2Pay недавно накрыли казанские полицейские. Ее услугами пользовались телефонные мошенники, наркоторговцы, организаторы подпольных казино и букмекерских контор.

Банк России отслеживает деятельность таких платформ, чтобы понимать новые приемы мошенников. Одним из новых является так называемый «прогрев» карты дропа, которую сразу после покупки используют по обычному сценарию — для покупки товаров и оплаты услуг.

И только через какое-то время постепенно начинают проводить с ней сомнительные операции. Как отметил Богдан Шабля, теневые платформы дробят платежи по разным банкам и объему, чтобы не привлекать внимание банков.

Ранее Богдан Шабля рассказал о планах по созданию централизованной платформы по отслеживанию подозрительных переводов физических лиц. Ее цель — сделать использование банковской системы для теневых платежей экономически нецелесообразным.

Другая задача, как отметил представитель Банка России, — донести до людей, что продажа карт не только аморальна, но и опасна:

«Надо включить этот красный сигнал светофора. Кого-то от дропперства сдерживают убеждения, а кого-то — только ответственность».

Поэтому Банк России поддержал инициативу МВД о криминализации деятельности дропов.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru