Сразу две хакерские группы атаковали российские банки, рассылая письма якобы от имени Центробанка. Об этом сообщается на сайте международной компании Group-IB, специализирующейся на предотвращении кибератак.
Отмечается, что массовая вредоносная рассылка была зафиксирована 15 ноября. В этот день российским банкам пришли электронные письма с темой «Информация центрального банка Российской Федерации»: получателям предлагали ознакомиться с постановлением ЦБ «Об унифицировании формата электронных банковских сообщений ЦБ РФ» и приступить к исполнению приказа.
В Group-IB отметили, что стиль и оформление письма похож на официальные рассылки регулятора. Однако при распаковке файла в письме пользователь загружал Silence. Downloader — данный инструмент использует хакерская группа Silence, выяснили эксперты. Эту группировку компания относит к наиболее опасным для российских и международных финансовых организаций.
Отмечается, что письма получили как минимум 52 российских банка и не менее пяти банков за рубежом. В пресс-службе Group-IB ТАСС сказали, что несколько атакованных банков входят в топ-30 российских финансовых организаций, не уточнив названия.
Еще одна атака была совершена 23 октября хакерами MoneyTaker: они отправляли банкам письма с поддельного адреса ФинЦЕРТ с пятью файлами, два из которых содержали загрузчик Meterpreter Stager. По мнению аналитиков Group-IB, образцы документов ЦБ хакеры получили из ранее скомпрометированных почтовых ящиков сотрудников российских банков.
Информация и индикаторы обеих атак были оперативно загружены в систему Threat Intelligence, и это позволило Group-IB предупредить своих клиентов из числа банков о потенциальной угрозе и заблокировать ее.
Накануне сообщалось, что хакерская атака была совершена на ресурсы федеральной антимонопольной службы (ФАС). В ведомстве сообщили, что хакеры создали для ФАС персональный вирус, который рассылает письма якобы от имени ведомства, предлагая открыть вредоносные файлы.
