ЦБ оценил ущерб от взлома банков группами Cobalt и Silence в 2018 году

Ущерб российских организаций кредитно-финансовой сферы в 2018 году от атак группы Cobalt составил не менее 44 миллионов рублей, а от атак, приписываемых Silence (другой основной группировке), — не менее 14,4 миллиона рублей.

Об этом говорится в "Обзоре основных типов компьютерных атак в кредитно-финансовой сфере в 2018 году", подготовленном ФинЦЕРТ Банка России и представленном на Международном финансовом конгрессе в Санкт-Петербурге.

Ранее ЦБ сообщал о четырех успешных атаках на процессинговые центры банков в 2018 году, когда в результате изменения остатка средств, снятия или повышения лимитов злоумышленники получили как раз 58 миллионов рублей. Таким образом, ущерб от этих группировок был многократно ниже результата целевых атак на информационные системы банков в предыдущем году: тогда хакеры Cobalt похитили из банков 1,16 миллиарда рублей. Однако в будущем Cobalt и Silence могут представлять существенную опасность, предупреждает Банк России.

Несмотря на арест в марте 2018 года одного из лидеров Cobalt и задержание еще нескольких ее членов, группа лишь на некоторое время снизила активность.

"У специалистов ФинЦЕРТ есть основания полагать, что после громких арестов от группы могла отделиться часть, на данный момент сформировавшаяся в самостоятельное, аналогичное по степени квалифицированности и опасности сообщество, не привязанное к каким-то определенным инструментам атак либо меняющее их в целях затруднения классификации своих атак специалистами по безопасности, — говорится в обзоре ЦБ. — На текущий момент активность этой новой группы не так широка, но теоретически будет нарастать". Интенсивность атак "основной" части Cobalt быстро восстановилась, в середине 2018 года поступали сообщения о многочисленных атаках группы на банки дальнего зарубежья.

Silence постепенно наращивала интенсивность атак в конце прошлого года, имела ряд значимых успехов, отмечает Банк России.

Подобные группы включают нескольких организаторов, нескольких инсайдеров из числа действующих или бывших сотрудников финансовых организаций, а также нескольких технических специалистов. Черновую работу, такую как снятие наличных, они в основном поручают каждый раз разным людям — "дропам" ("мулам"), найденным через интернет или его теневой сегмент — даркнет.

Тактика их работы схожа: они закрепляются в IT-системах банков через целевые фишинговые письма (часто от имени финансовых организаций или органов власти) с вредоносными вложениями, проводят разведку и тщательно готовят хищения через системы процессинга, шлюзы платежных систем или автоматизированное рабочее место клиента Банка России. "Только в отдельных случаях (вероятно, когда злоумышленникам не удается проникнуть в критические узлы информационной системы) итоговой целью становится подсеть устройств самообслуживания с последующей установкой на устройства специализированного вредоносного программного обеспечения для выдачи наличных "дропам" по переданному организаторами атаки ключу", — указывает Банк России.

Игорь ЗУБКОВ