115
Российская финансовая сфера потеряла от кибератак около 3 млрд рублей
Согласно исследованию, каждый месяц хакерам удается красть денежные средства в 1-2 банках, при этом ущерб от одного успешного хищения составляет в среднем 2 млн долл. США.
«Финансовая мотивация по-прежнему превалирует среди киберпреступников, атакующих банки, однако хищение денег — не самое страшное, что может случиться с финансовой организацией, — говорит Илья Сачков, генеральный директор и основатель Group-IB. — Поскольку во многих странах мира банки являются объектами критической инфраструктуры, они оказались в числе мишеней для прогосударственных хакерских групп, специализирующейся на диверсиях и саботаже. Одна успешная кибератака может привести как к ликвидации самой кредитно-финансовой организации, так и коллапсу финансовой системы государства. В связи с этим банки должны пересмотреть подход к системе защиты от киберугроз: оборонительная стратегия уже себя исчерпала. Пора стать охотником, а не мишенью для атак».
Group-IB выделяет четыре преступных хакерских группы, представляющих реальную угрозу для финансового сектора: они способны не только проникнуть в сеть банка, добраться до изолированных финансовых систем, но и успешно вывести деньги через SWIFT, АРМ КБР, карточный процессинг и банкоматы. Речь идет о группах Cobalt, MoneyTaker, Silence, состоящих из русскоговорящих хакеров, а также о северокорейской Lazarus.
Для системы межбанковских переводов SWIFT представляют угрозу только две преступные группы: Lazarus и Cobalt, причем последняя в конце 2017 года впервые в истории российский финансовой сферы провела успешную целевую атаку на банк с использованием SWIFT. По оценкам Group-IB, количество целенаправленных атак на банки с целью хищения через SWIFT за отчетный период увеличилось в три раза. Если за прошлый прошлый период было зафиксировано всего три подобных атаки: в Гонконге, на Украине и в Турции, то в этом — прошло уже 9 успешных атак в Непале, Тайване, России, Мексике, Индии, Болгарии и Чили. Хорошая новость в том, что в случае со SWIFT, большую часть несанкционированных транзакций удается вовремя остановить и вернуть пострадавшим банкам.
Атаки на карточный процессинг по-прежнему являются одним из основных способов хищений и его активно используют хакеры из Cobalt, MoneyTaker, Silence. В феврале 2018 года участники Silence провели успешную атаку на банк и хищение денег через карточный процессинг: им удалось снять с карточек через банкоматы партнера банка 35 млн. рублей. Фокусировка атак на банкоматах и карточном процессинге привела к уменьшению среднего ущерба от одной атаки. Однако это позволяет атакующим проводить эти атаки более безопасно для «дропов», обналичивающих украденные деньги. Атакующие находятся в одной̆ стране, их жертва (банк) в другой, а обналичка происходит в третьей.
Выводом денег через АРМ КБР (автоматизированное рабочее место клиента Банка России) активно пользуется группа MoneyTaker — если в ноябре 2017 года им удалось вывести всего 7 млн рублей, то уже летом 2018 года они успешно похитили из ПИР-банка 58 млн. рублей. Напомним, что на счету MoneyTaker 16 атак в США, 5 – на банки России и 1 – в Великобритании. В США средний ущерб от одной атаки составляет $500 000. В России средний объем выведенных средств – 72 млн. рублей. В декабре 2017 года Group-IB опубликовала первый отчет об этой группе: «MoneyTaker: полтора года ниже радаров».
Атаки на платежные шлюзы за обозначенный период проводила только группа Cobalt. При этом в 2017 году они похитили таким образом деньги у двух компаний, а в 2018 не сделали ни одной попытки. При этом помощь в проведении одной из атак им оказывали участники из группы Anunak, которая не проводила подобных атак с 2014 года. Несмотря на арест в Испании лидера группы весной 2018 года, Cobalt по-прежнему остается одной из самых активных и агрессивных группировок, стабильно — 2-3 раза в месяц атакуя финансовые организации в России и за рубежом.
По материалам Group-IB
