Компания Group-IB, которая занимается расследованием и предотвращением киберпреступлений, обнаружила массовое распространение фишинговой рассылки группы Silence на российские кредитно-финансовые организации, в частности на банки и крупные платежные системы. Злоумышленники действовали под видом организаторов одного из крупных финансовых форумов в Москве. Об этом сообщается на сайте компании.
По данным экспертов, вредоносные сообщения получили более 80 тысяч пользователей, при этом в Group-IB не уточнили, какие банки могли подвергнуться атаке.
Группа Silence воспользовалась маскировкой вредоносного письма под приглашение от организаторов XIX Международного форума iFin-2019 «Электронные финансовые услуги и технологии», который пройдет в Москве 19-20 февраля. Организаторы мероприятия сделали рассылку около 9:00 16 января, а через несколько часов свое «приглашение» отправили Silence. Фальшивая рассылка велась от имени «Forum iFin-2019», но с адреса info@bankuco.com.
Письмо от хакерской группы составлялось на базе реального приглашения, однако в него были внесены корректировки. Так, злоумышленники прикрепили в сообщении вредоносный файл под видом ZIP-архива, документы в котором якобы нужно было заполнить для того, чтобы получить бесплатные пригласительные. Это подтверждает версию специалистов Group-IB о том, что представители Silence могли работать или работают в финансовом секторе.
«Масштаб действий Silence увеличивается: мы наблюдаем рост атак не только по России, но и активные действия в отношении европейских и ближневосточных финансовых компаний. Что примечательно, мы фиксируем изменения в работе группы, которые начали появляться спустя некоторое время после выпуска технического отчета Group-IB, описывающего тактику действий хакеров и детали атак. На данный момент Silence — одна из самых опасных русскоязычных групп, фактически стоящая в одном ряду с Cobalt и MoneyTaker», — приводятся в сообщении слова руководителя отдела динамического анализа вредоносного кода, эксперта по киберразведке Group-IB Рустама Миркасымова.
Впервые Silence зафиксировали в 2016 году. Хакеры этой группы атакуют цели в России, на Украине, в Белоруссии, Азербайджане, Польше и Казахстане, пишет «Новая газета». В основном хакеры искали бреши в системе управления банкоматов, карточном процессинге и российской системе межбанковских переводов АРМ КБР. Группировке удалось похитить 52 млн рублей только из российских банков.
15 ноября минувшего года хакеры из группы Silence разослали российским банкам письма с вредоносным программным обеспечением от имени Центрального банка России. В письме с заголовком «Информация центрального банка Российской Федерации» предлагалось ознакомиться с постановлением «Об унифицировании формата электронных банковских сообщений ЦБ РФ» и незамедлительно приступить к исполнению «приказа». Для этого нужно было скачать и распаковать архив, где содержался вирус. При этом стиль и оформление письма были практически идентичны официальным рассылкам регулятора.
Получателями рассылки от 15 ноября стали не менее 52 банков в России и не менее 5 банков за рубежом. Но, основываясь на данных по предыдущим атакам, можно предположить, что были атакованы более 100 организаций. Как минимум три банка из атакованных входят в топ-30.
Эксперты считают, что участниками Silence являются люди, предположительно занимавшиеся или занимающиеся легальной работой — пентестами и реверс-инжинирингом. Именно поэтому они хорошо знакомы с документооборотом в финансовом секторе и работой банковских систем.
Источник: