Positive technologies выяснила, как хакеры похитили миллионы за ночь
В первых числах Октября 2016 года компания Positive Technologies, занимающаяся кибербезопасностью, взяла сообщение от одного из банков Восточной Европы о случившемся инциденте, результатом которого стала кража денег из банкоматов.
За одну ночь из шести банкоматов были украдены финансовые средства в размере, эквивалентном 2,2 млн русских рублей в местной валюте.
Чужестранцы взломают Национальный банк
Зарубежные разведслужбы планируют хакерские атаки, целью которых станет денежная совокупность России. Как сказала Федслужба безопасности (ФСБ)…
Правоохранительные органы быстро среагировали на случившееся. Но эксперты обращают внимание, что при более продолжительной атаки нарушители имели возможность бы похитить более 10 млн в рублевом эквиваленте.
«Размер хищений ограничивался бы только возможностями выдачи купюр в банкомате и числом скомпрометированных устройств», — указано в отчете Positive Technologies.
Чтобы получить наличные из банкоматов, употреблялись подставные лица, так именуемые дропы. Один из них был задержан с поличным правоохранительными органами при выемке банкнот.
В компании растолковывают, что «дропы» привлекаются с целью снять риски раскрытия главного состава организаторов атак. Они не привычны с ядром преступной группировки и действуют только под командой кураторов, несущих ответственность за доставку денег и сбор наличных.
Удаленный доступ для всех
Эксперты компании узнали, что в течении месяца на адреса банка рассылались письма с вредоносным ПО от лица сотрудников разных денежных организаций.
Фишинг в моде при любой погоде
Совокупности защиты банковских карт всегда обновляются, что не мешает мошенникам придумывать новые методы взломов. За прошедший год мошенники нанесли…
Фишинговые сообщения приходили с темами «Сверка балансов за 04.08», «Протокол вчерашнего совещания», «Требования к сотрудникам. Информационная безопасность» и другими.
На протяжении расследования Positive Technologies узнала, что пара сотрудников банка в различное время открыли вредоносный файл из подставных писем.
Отмечается, что антивирусам удалось зафиксировать заражение. Но, согласно данным Positive Technologies,
работы информационной безопасности банка не приняли своевременных мер. Более того, сотрудники часто отключают средства защиты на собственных компьютера и не контролируют противовирусные издания.
Преступники кроме этого постарались скрыть страшное ПО от инструментов для обнаружения вредоносных файлов. Для этого преступники применяли легитимный софт и встроенные в ОС функции, код запускали лишь в оперативной памяти, а после этого удаляли все следы. Работа протекала в основном ночью.
В соответствии с отчету Positive Technologies, сложилась тенденция, при которой преступники все чаще для совершения взломов используют общедоступные инструменты. В частности, эксперты выделяют ПО с целью проведения легитимных тестов на проникновение либо встроенную функциональность операционных совокупностей.
В конкретном случае для удаленного управления использовалась утилита, которую кто угодно может скачать с сайта производителя.
Эксперты уверены, что
легальные современные утилиты для работы с серверами и сетевой инфраструктурой снабжают широкую функциональность.
Преступникам кроме того нет необходимости придумывать хитроумные инструменты.
Атаке поспособствовали избыточные сегментации привилегии и отсутствие сети учетной записи большинства сотрудников. Так, атакованный пользователь являлся администратором на всех рабочих станциях в локальной сети. Все это разрешило взломщикам распознать сотрудников, важных за работу банкоматов и использование платежных карт.
Подготовив площадку и все прекрасно изучив, преступники спустя пара месяцев загрузили вредоносное ПО на банкоматы. Оператор отправлял команду на устройства, а «дропы» в условленный момент доходили к нему и просто забирали наличные.
Хакеры отправили Касперского
Причастными к инциденту в Positive Technologies посчитали группировку Cobalt. Отчет о ней в ноябре публиковала и компания Group-IB.
«Хакеров уже не принято разделять по национальному показателю»
Хакеры все чаще совершают целенаправленные атаки на банки и не дают спокойной судьбе обладателям Android-смартфонов. В рамках конференции…
Специалисты сходятся на том, что как минимум один из участников хакерской группы есть русскоязычным. На это показывают фишинговые письма, составленные на русском.
Кроме этого эксперты Positive Technologies отмечают, что последовательность подобных атак, случившихся в России и Восточной Европы, нереально было бы совершить без знания внутренних процессов банка, а это, со своей стороны, требует понимания русского.
Ко всему другому, расследуя инцидент, специалисты поняли, что e-mail, что употреблялся для загрузки Ammyy Admin, содержал характерное для русского ругательство в адрес «Лаборатории Касперского».
В Positive Technologies уверены в том, что подобные взломы происходят не столько из-за умений самих хакеров, сколько из-за несерьезного отношения к кибербезопасности в банковских организациях.
«Главными неточностями в противодействии киберпреступникам возможно назвать недооценку их возможностей и распространенное вывод, что
все эти атаки происходят где-то на большом растоянии и к нам никакого отношения не имеют. Подобная позиция может обернуться значительными денежными утратами»,
— говорится в отчете.
Кроме этого Positive Technologies показывает, что, не смотря на то, что Cobalt и старались скрыть собственные действия, антивирусу все-таки удалось распознать вредоносный софт. «Хищение денег возможно было и вовсе не допустить, если бы мониторинг существующих средств защиты был организован в банке на высоком уровне», — заключили эксперты.
Специалисты дают предупреждение, в 2017 году стоит ожидать как повышения числа самих атак, так и роста количеств денежных утрат банков от их реализации. Согласно точки зрения Positive Techonlogies, «преступники вошли во вкус», а банки просто не готовы им противостоять.
—
