Согласно новым данным, взлом уязвимого устройства совершили члены международной преступной группировки MoneyTaker.
Эксперты Group-IB поделились подробностями громкой истории о хищении 58 млн рублей из ПИР-банка. Как выяснилось, за взломом стоит группировка MoneyTaker, на счету которой свыше 20 атак на финансовые и юридические компании в России, США и Великобритании.
В начале июля злоумышленники смогли получить контроль над корреспондентским счетом ПИР-Банка в ЦБ РФ. Согласно первоначальным сообщениям, преступники получили доступ к автоматизированному рабочему месту клиента Банка России (АРМ КБР) с помощью бэкдора Carbanak. Однако после того как эксперты изучили рабочие станции и серверы пострадавшей организации, точкой входа злоумышленников в систему называют устаревший роутер.
Уязвимое устройство располагалось в одном из региональных подразделений ПИР-банка. По словам аналитиков Group-IB, подобные атаки стали “визитной карточкой” MoneyTaker — ранее группировка атаковала таким образом филиалы как минимум трех кредитных организаций.
Эксперты датировали взлом последними числами мая. Устаревший роутер содержал бреши и открыл преступникам прямой доступ к сетевой инфраструктуре банка. Они закрепились в ней с помощью зловредного ПО и смогли скрыть свои действия от защитных систем. На следующем шаге злоумышленники переместились в основную сеть, где им удалось подключиться к АРМ КБР.
Само хищение произошло 3 июля. Деньги с корреспондентского счета ПИР-банка были переведены на 17 заранее созданных счетов. По словам экспертов, сразу после поступления средств “мулы” сняли наличные в банкоматах в различных регионах России.
На следующий день cотрудники банка обнаружили кражу, но отменить операцию было уже невозможно. К тому времени взломщики покинули ИТ-инфраструктуру, постаравшись замести свои следы. Отмечается, что преступники тщательно подготовились к атаке и свели к минимуму применение стороннего ПО, полагаясь на штатные возможности информационных систем.
Специалисты по кибербезопасности наблюдают за MoneyTaker с 2016 года. В США группировка атаковала 15 банков и одну телекоммуникационную компанию, в Великобритании — разработчика ПО для финансовых организаций. Список жертв в России включает пять кредитных учреждений и одно юридическое агентство. Многие расследования еще не завершены, что не позволяет экспертам раскрывать подробности инцидентов.
Для России данная атака стала одной из крупнейших. Еще один инцидент схожего масштаба произошел в декабре 2017 года, когда преступники пытались украсть 55 млн рублей из банка “Глобэкс”. Это была первая в стране подтвержденная попытка вывести средства через систему переводов SWIFT, но благодаря быстрым действиям службы безопасности кредитного учреждения ущерб не превысил 6 млн.