Криминальная группировка, получившая название Carbanak, как полагают эксперты, является международной и включает киберпреступников из России, Украины, ряда других европейских стран, а также Китая. Она использовала методы, характерные для целевых атак. Однако в отличие от многих других инцидентов это ограбление знаменует собой новый этап: теперь киберпреступники могут красть деньги напрямую из банков, а не у пользователей.
Большинство пострадавших организаций располагаются в России, но многие также в Японии, США и Европе.
Наиболее крупные суммы денег, как говорится в сообщении «Лаборатории Касперского», похищались в процессе вторжения в банковскую сеть: за каждый такой рейд киберпреступники крали до 10 миллионов долларов. Вся процедура — от заражения первого компьютера и до сокрытия следов преступления — занимала в среднем от двух до четырех месяцев на один банк. Всего злоумышленники, как сообщается, похитили 300 миллионов долларов (имеются улики на данные хищения), однако предполагается, что реальная сумма превышает ее более, чем в три раза — около 1 миллиарда.
«Эти ограбления банков отличаются от остальных тем, что киберпреступники применяли такие методы, которые позволяли им не зависеть от используемого в банке ПО, даже если оно было уникальным. Хакерам даже не пришлось взламывать банковские сервисы. Они просто проникали в корпоративную сеть и учились, как можно замаскировать мошеннические действия под легитимные. Это действительно профессиональное ограбление», – поясняет Сергей Голованов, ведущий антивирусный эксперт «Лаборатории Касперского».
Хакеры отправляли электронные письма сотням сотрудников банка, содержащие в себе вредоносную программу под названием Carbanak, в надежде заразить компьютер администратора. После заражения машины одного из сотрудников банка вредоносным ПО злоумышленники получали доступ к внутренней сети, находили компьютеры администраторов систем денежных транзакций и разворачивали видеонаблюдение за их экранами. Таким образом, банда Carbanak знала каждую деталь в работе персонала банка и могла имитировать привычные действия сотрудников при переводе денег на мошеннические счета.
Как банда Carbanak крала деньги:
1. Когда приходило время забирать деньги, киберпреступники использовали онлайн-банкинг или платежные системы для перевода денег со счета банка на свой собственный. Мошеннические счета были открыты в банках Китая и Америки, однако эксперты не исключают, что преступники также могли хранить украденные деньги в банках других стран.
2. В некоторых случаях злоумышленники проникали в системы бухгалтерского учета и при помощи мошеннических транзакций «раздували» баланс средств на счете. Например, преступники узнавали, что на счете хранилась 1 тысяча долларов США, тогда они увеличивали баланс до 10 тысяч, а затем переводили 9 тысяч себе. Владелец счета ничего не подозревал, поскольку имевшаяся изначально тысяча долларов по-прежнему была на месте.
3. Помимо всего прочего, киберграбители получали контроль над банкоматами и активировали команды на выдачу наличных в установленное время. После этого к банкомату подходил кто-нибудь из членов банды и забирал деньги.
«Эти атаки служат очередным подтверждением того, что злоумышленники неизменно будут эксплуатировать любую уязвимость в любой системе. В таких условиях ни один сектор не может чувствовать себя в абсолютной безопасности, поэтому вопросам защиты стоит постоянно уделять внимание. Выявление новых тенденций в сфере киберпреступлений – одно из основных направлений, по которым Интерпол сотрудничает с «Лабораторией Касперского», и цель этого взаимодействия – помочь государственным и частным компаниям обеспечить лучшую защиту от этих постоянно меняющихся угроз», – отмечает Санджай Вирмани (Sanjay Virmani), директор центра Интерпола, занимающегося расследованием киберпреступлений.
Деятельность киберпреступников из банды Carbanak затронула около 100 банков, платежных систем и других финансовых организаций из почти 30 стран, в частности из России, США, Германии, Китая, Украины, Канады, Гонконга, Тайваня, Румынии, Франции, Испании, Норвегии, Индии, Великобритании, Польши, Пакистана, Непала, Марокко, Исландии, Ирландии, Чехии, Швейцарии, Бразилии, Болгарии и Австралии.
Ни один банк не признает, что пострадал в ходе данного киберпреступления. Тем не менее, промышленный консорциум, который предупреждает банки о такого характера активности, сказал в своем заявлении: «Наши члены знают об этой активности. Мы распространили информацию об этой атаке участникам [консорциума]». Это позволяет предположить, что банки умышленно умалчивают о факте атаки, чтобы не вызывать разговоры о том, насколько ненадежны системы защиты в данной сфере, когда речь идет о преступлении такого характера.
«Лаборатория Касперского» рекомендует всем финансовым организациям внимательно просканировать свои сети на наличие вредоносного ПО Carbanak и, в случае его обнаружения, обратиться к правоохранительным органам.
Возможно, вас заинтересует: