Расследование PT: как украсть у банка миллионы рублей за одну ночь

Компания Positive Technologies представила детальный отчет о расследовании одного из инцидентов в банковской сфере, в ходе которого за одну ночь из шести банкоматов финансовой организации были похищены несколько миллионов рублей (эквивалент в местной валюте).

Избежать более крупных потерь банку помогла случайность: инструменты для атаки конфликтовали с ПО банкоматов компании NCR, из-за чего злоумышленникам не удалось выполнить свои задачи по выводу денег полностью.

Опубликованные результаты расследования, проведенного экспертами Positive Technologies, позволяют отметить несколько нюансов, характерных для современных кибератак на финансовые организации:

1. Злоумышленники все чаще используют известные инструменты и встроенную функциональность операционных систем. В данном случае использовалось коммерческое ПО Cobalt Strike, включающее многофункциональный троян Beacon класса RAT (Remote Access Trojan), обладающий широкими возможностями по удаленному управлению системами. Также были использованы программа Ammyy Admin, приложения Mimikatz, PsExec, SoftPerfect Network Scanner и Team Viewer.
2. Использование фишинговых рассылок остается одним из успешных векторов атаки в силу недостаточного уровня осведомленности работников в вопросах ИБ. Вектор заражения инфраструктуры банка основывался на запуске файла documents.exe из RAR-архива, присланного по электронной почте одному из сотрудников и содержащего вредоносное ПО. Целенаправленная рассылка электронных писем, имитировавших финансовую корреспонденцию и сообщения от службы ИБ, велась на протяжении месяца. Запуск файла из фишинговых писем в разное время осуществили сразу несколько сотрудников, а заражение произошло из-за отключенного (или использовавшего устаревшие базы) антивируса на рабочей станции одного из них.
3. Таргетированные атаки становятся все более организованными и распределенными во времени. Расследование показало, что старт атаки пришелся на первую неделю августа. В начале сентября (после закрепления в инфраструктуре) начались атаки с целью выявления рабочих станций сотрудников, ответственных за работу банкоматов и использование платежных карт. И только в первых числах октября злоумышленники загрузили вредоносное ПО на банкоматы и осуществили кражу денежных средств: оператор отправлял команду на банкоматы, а подставные лица (дропы) в условленный момент забирали деньги.

«Атаки на клиентов банка сегодня отходят на второй план, уступая дорогу атакам на сетевую инфраструктуру банков. Злоумышленники осознали, что далеко не все финансовые организации достаточно инвестируют в свою безопасность, а некоторые делают это лишь "для галочки", с целью соответствия требуемым стандартам», — комментирует результаты расследования Максим Филиппов, директор по развитию бизнеса Positive Technologies в России.

В ходе расследования инцидента экспертами Positive Technologies было собрано множество хостовых и сетевых индикаторов компрометации, которые были направлены в FinCERT Банка России с целью распространения данной информации среди финансовых организаций и предотвращения подобных атак в будущем.