МOСКВA, 6 июля. /ТAСС/. Xaкeрскую aтaку нa ПИР Бaнк совершила группировка Carbanak, использующая для проникновения в защищенный периметр компаний одноименный вирус, сказал глава Сбербанка Герман Греф на Международном конгрессе по информационной безопасности.

«Сегодня прочитал в «Коммерсанте» — ПИР Банк лишился более 58 млн рублей со своего корсчета в Банке России, нападение провела преступная группа Carbanak», — сказал он.

Похищенные средства выводились на счета в 22 крупнейших банках и были обналичены в различных регионах страны, пишет газета «Коммерсантъ», со ссылкой на свои источники.

При этом технических деталей, в том числе, названия группировок или инструментов кибератак в статье указано не было.

По данным газеты, представители сразу нескольких кредитных организаций сообщили «Ъ», что на этой неделе была совершена первая в 2018 года хакерская атака на банк. По словам одного из собеседников, атакован ПИР Банк (329 место по активам). Другой источник газеты уточнил, что с его корсчета в ЦБ в ночь на 4 июля злоумышленники вывели   более 58 млн руб.

Руководство банка не отрицает факт совершенной кибератаки. Председатель правления банка Ольга Колосова не оценивает масштабы похищенных денежных средств и уточняет, что «веерной рассылкой на пластиковые карты физических лиц в 22 банках из топ-50, большая часть денежных обналичена уже в ночь хищения».

«Вирус, которым атакован банк, не подлежит идентификации имеющимися сейчас средствами, что было подтверждено сотрудниками ФинЦЕРТ, с наибольшей вероятностью вирус проник в банк через фишинговое письмо», — отметила Колосова.

Банк был вынужден 4 и 5 июля прекратить работу, поскольку «скомпрометированы ключи» (злоумышленники фактически получили полный доступ к автоматизированному рабочему месту клиента Банка России, АРМ КБР, и могли выводить деньги с корсчета банка в ЦБ). «С 6 июля работа возобновится», — заверила она.

В ЦБ РФ также подтвердили факт атаки, отметив, что Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере ЦБ (ФинЦЕРТ) продолжает анализ ситуации, и делать какие-либо выводы пока еще рано.

Ранее зампред правления Сбербанка Станислав Кузнецов сообщил, что ущерб от кибератак в России составляет около 600-650 млрд рублей   в год. В мире сумма убытков составляет почти $1   трлн.

Общемировой ущерб от атак на предприятия финансовой сферы в I квартале 2018 года   превысил $83 млн. Хакеры используют системы межбанковских переводов и инфраструктуру банка, включающую в себя внутренние сети и банковское оборудование. Такие атаки происходят по причине использования банком устаревшего ПО, хранения данных в открытом виде и защиты ненадежными паролями.

О хакерской группировке

По данным Group IB, о группе Carbanak (Anunak) стало известно в 2013 году. Целью хакеров являются банки и электронные платежные системы России и постсоветского пространства. Особенностью их «почерка» является то, что мошенничество происходит внутри корпоративной сети, с использованием внутренних платежных шлюзов и банковских систем. Таким образом, денежные средства похищаются не у клиентов, а у самих банков и платежных систем.

Если доступ был получен злоумышленниками в сеть государственного предприятия, то их целью является промышленный шпионаж, указывают в компании.

Основной костяк преступной группы составляют граждане России и Украины, однако есть лица, оказывающие им поддержку из Белоруссии.

Для проведения целевых атак злоумышленники используют вредоносную программу Anunak собственной разработки.

Именно эта группа совершила первые успешные целевые атаки на банки в России. В 2013-2014 годах   их жертвами стали более 50 российских банков и пять   платежных систем, ущерб составил в общей сложности более 1 млрд рублей   (около $25 млн).

Group IB указала, что также группировка атаковала POS-терминалы американских и европейских ретейл-сетей и активно вовлекала новых людей в атаки и делилась опытом. Carbanak имеет целый ряд последователей, копирующих их тактику.

Начиная с 2015 года, хакеры из Carbanak не совершили ни одного успешного хищения на территории России, но их троян еще используется для атак на компании за пределами СНГ.

{{item.group_date}}

{{item.suffix?», «+item.suffix:»»}}

Показать еще