Похитившие сотни миллионов долларов хакеры вернулись в Россию

Специалисты словацкой антивирусной компании Eset зафиксировали возобновление в российских сетях вредоносной активности хакерской группировки Carbanak, ответственной за кражи сотен миллионов долларов, данных кредитных карт и интеллектуальной собственности.

Как сообщили в Eset, специалистами были обнаружили новые образцы вредоносного программного обеспечения, созданные участниками Carbanak для проведения атак на финансовые учреждения. В частности, атакующие используют троян Win32/Spy.Agent.ORM (также известный как Win32/Toshliph), бэкдор Win32/Wemosis для кражи конфиденциальных данных карт с PoS-терминалов и троян Win32/Spy.Sekur. 

Carbanak не ограничивается одним семейством вредоносных программ и сочетает несколько инструментов, подчеркнули в Eset. Все указанные программы основаны на разных кодовых базах, однако содержат некоторые общие черты, например, подписи на основе одного цифрового сертификата. 

Кроме того, атакующие пополнили свой арсенал последними эксплойтами для таких уязвимостей Microsoft Office, как RCE CVE-2015-1770 и CVE-2015-2426, которые содержатся в утекших данных компании Hacking Team.

Атака может проводиться посредством фишингового сообщения с вредоносным вложением в виде RTF-файла с различными эксплойтами или файла в формате SCR. Специалисты Eset наблюдали, в частности, образцы фишинговой рассылки на русском языке, адресованные сотрудникам компаний по обработке электронных платежей, Forex-трейдеров и других финансовых организаций.

Среди названий вложенных вредоносных файлов из этих писем: «АО «АЛЬФА-БАНК» ДОГОВОР.scr», «Перечень материалов для блокировки от 04.08.2015г.scr», «Postanovlene_ob_ustranenii_18.08.2015.pdf %много_пробелов% ..scr», «Правила Банка России от 06.08.2015.pdf %много_пробелов% .scr», prikaz-451.doc и др.

Carbanak — международная банда хакеров, в которую входят специалисты из России, Китая и европейский стран. Группировка  специализируется на взломе крупных организаций, в числе жертв — банки и Forex-трейдеры из России, США, Германии, ОАЭ, Великобритании и некоторых других стран. За два года хакеры из группировки Carbanak сумели «увести» около $300 млн со счетов более 100 банков из 30 стран мира. Деятельность мошенников продолжалось почти два года. От других подобных инцидентов его отличает то, что киберпреступники крали деньги напрямую у банков, а не у пользователей. На каждое ограбление — от заражения первого компьютера в корпоративной сети до кражи денег и сворачивания активностей — уходило 2–4 месяца.

Как выяснили эксперты, хакерам из Carbanak удалось внедрить вредоносную программу в компьютеры банковских служащих, обрабатывающих данные о ежедневном трансфере и занимающихся бухгалтерским учетом. Зачастую для этого использовались фишинговые приемы. После заражения одного компьютера хакеры могли свободно пользоваться внутренней сетью банков в поисках сотрудников, в ведении которых находились денежные переводы, и разворачивали видеонаблюдение за их экранами. Это позволяло отслеживать все действия персонала, получать нужную информацию, а после дистанционно направлять в банкоматы запросы на выдачу денег или перечислять средства на фальшивые счета, открытые в банках Китая и США.