Две хакерски групи са атакували руския банков сектор
Атаките използват проста, но ефективна фишинг тактика
Руският банков сектор е бил цел на поне две масирани хакерски атаки през последните 30 дни. Едната от тях се е случила в утрото на 15 ноември и е засечена от компанията за киберсигурност Group-IB.
Служителите на финансовите институции са получили съобщение от имейл адрес на Централната банка на Русия. В него се казва, че банките трябва незабавно да въведат промени в начина, по който оформят електронната си комуникация. Предполагаемите промени са описани в архивирани документи, които са прикачени към съобщението.
Всъщност писмото не е изпратено от централната банка, а от фалшив имейл адрес. В архивираните файлове се съдържа зловреден код, който при отварянето сваля малуер на атакуваното устройство.
Според Group-IB авторите на кампанията са част от Silence – хакерска група, за която се подозира, че членовете й работят като консултанти по киберсигурност. Silence е известна и с други атаки срещу банки предимно в Русия.
„Стилът и форматираното на зловредните имейли много прилича на официалната кореспонденция на централната банка. Хакерите най-вероятно са имали достъп до легитимни имейли. Членовете на Silence вероятно работят легално като консултанти по информационна сигурност. Като такива те са запознати с документацията във финансовия сектор и структурата на банковите системи“, посочват от Group-IB.
Около месец по-рано, на 23 октомври, е осъществена друга масирана атака срещу руски банки. И този път е използван фалшив имейл адрес на централната банка и по-точно на звеното за борба с компютърни атаки FinCERT. Изпратеният имейл е съдържал 5 прикачени документа, два от които са били зловредни.
Group-IB прогнозира, че автор на атаката е MoneyTaker , друга хакерска група, която има опит в изпращането на фишинг кампании към банки.
Не се споменава дали засечените кампании са довели до щети. Атаките обаче показват, че хакерите продължават да разчитат на тривиални, но ефективни тактики, каквато е фишингът. Около 76% от фирмите са били атакувани от фишинг кампании през 2017 г. според данните на Wombat Security.