Киберпреступная группа MoneyTaker провела успешную кибератаку на один из российских банков через его рабочее место в Банке России. Аналогичная атака ранее проводилась около трех лет назад. В издании РБК уточняют, что злоумышленникам удалось украсть около 500 млн. рублей.
Впервые с 2018 года хакеры из группировки MoneyTaker в начале текущего года смогли провести успешную кибератаку, украв крупную сумму денег (около полумиллиарда рублей) у одного из банков РФ. Атака была проведена через автоматизированное рабочее место клиента ЦБ РФ (АРМ КБР). С соответствующим заявлением выступила Group-IB, рассказав об этом в своём новом отчете.
АРМ КБР применяется для выполнения межбанковских переводов денежных средств с корреспондентского счета, который открыт в Банке России.
«В течение нескольких лет о группировке MoneyTaker ничего не было слышно, но в 2021 году она провела крайне успешную хакерскую атаку. Скорее всего, киберпреступники, с учетом похищенной суммы, вряд ли остановятся на этом, продолжив проводить атаки на АРМ КБР», – сказано в отчете Group-IB.
Эксперты уточнили, что в 2018 году хакеры из MoneyTaker провели аналогичную атаку на российский ПИР Банк. Инцидент безопасности был зарегистрирован летом 2018 года. В тот раз киберпреступникам удалось получить около 58 млн. рублей. Осенью того же года лицензия у ПИР Банка была отозвана регулятором.
Название пострадавшего российского банка и общая сумма украденных средств в Group-IB решили не называть. По словам одного из источников, который близок к Банку России, киберпреступникам удалось похитить около 500 млн. рублей.
Другой источник, работающий на финрынке России, заявил, что пострадал «не очень крупный российский банк, который не входит в ТОП-100 финорганизаций страны».
Хакеры из MoneyTaker провели атаку в три этапа:
- Кибератака началась летом 2020 года, когда киберпреступники скомпрометировали аффилированную с банком организацию.
- После этого злоумышленники получили доступ во внутреннюю сеть финансовой организации. В течение 6 месяцев они изучали сеть.
- Завершающая стадия атаки стартовала в январе 2021 года. Хакерам удалось получить доступ к системе межбанковских переводов, выполняемых через АРМ КБР. Злоумышленники также украли цифровые ключи для подписания платежей, которые проходят через Банк России.
Больше интересного материала на cisoclub.ru. Подписывайтесь на нас: Facebook | VK | Twitter | Instagram | Telegram | Дзен | Мессенджер | ICQ New | YouTube | Pulse.
