Международная хакерская группа совершила ряд кибернападений на банкоматы ряда стран СНГ и Евросоюза.
По данным, которые предоставила крупная компания по борьбе и расследованию киберпреступлений и мошенничеств Group-IB, удаленные атаки были совершены на банки Беларуси, России, Армении, Кыргызстана, Молдовы, Румынии, Великобритании, Нидерландов и Испании. О том какой ущерб нанесли хакеры и какие банки были атакованы пока неизвестно, пишет Reuters.
Хакеры при помощи специального программного обеспечения снимают в банкомате наличные. Известно, что подобные кибератаки осуществлялись и ранее, однако масштаб был значительно меньше.
Между тем, как рассказали РБК специалисты компании Group-IB и «Лаборатории Касперского», крупные банки могут подвергнуться масштабной кибератаке перед Новым годом. Перед праздниками банкоматы заполнены деньгами, а сотрудники банков уделяют меньше внимания безопасности, отмечают специалисты. Среди возможных организаторов атак на банкоматы в Group-IB, которая специализируется на предотвращении и расследовании киберпреступлений, называют международную группировку Cobalt с российскими «корнями».
Российские банки извещены регулятором о новом виде мошенничества, сообщил представитель Банка России.
Преступная группа Cobalt начала атаки в июне 2016 года, говорится в расследовании Group-IB (имеется у РБК). Cobalt грабит банкоматы без физического воздействия, проникая в локальную сеть банка и получая полный контроль над устройствами, говорится в расследовании Group-IB. По удаленной команде машины начинают выдавать наличность, а заранее подготовленные люди просто собирают деньги в сумки, следует из документа Group-IB.
Чтобы проникнуть во внутреннюю сеть банка, Cobalt точечно отправляет в банки по электронной почте письма с вредоносными вложениями. «Фишинговые письма рассылаются от лица Европейского центрального банка, производителя банкоматов Wincor Nixdorf или от имени региональных банков», — уточняет Group-IB. Но на самом деле письма приходят с двух серверов с программой, изменившей адрес отправителя, при этом ЕЦБ, производитель банкоматов и региональные банки никакого отношения к этой рассылке не имеют.
Оба сервера, с которых рассылались письма, по данным Group-IB, находятся в России. В частности, для распространения вредоносных программ по банкам в русскоговорящем сегменте преступники использовали вложения с названиями «Договор_хранения2016.zip» и «список документов.doc», говорится в расследовании.
После того, как сотрудник банка запускает файл из фальшивого письма, вредоносное вложение загружается в оперативную память компьютера. «Это означает, что после перезагрузки операционной системы атакующие теряли контроль над этим компьютером», — пишет Group-IB. Чтобы «выжить», приложение автоматически прописывалось в автозагрузку. Дальше с помощью различных способов преступники получали доступ к паролям администраторов системы банка. Это могло занимать у них от 10 минут до недели, говорится в расследовании. После атакующие обеспечивали себе удаленный доступ к локальной сети банка и привилегии, позволяющие им делать все, что необходимо для будущей кражи денег из банкоматов. Им требовалось только «закрепиться» и наладить резервные каналы доступа, если подозрительная активность будет замечена службами безопасности банка.
После того, как преступники получали контроль над локальной сетью банка, они начинали искать сегменты, из которых можно добраться до управления банкоматами. Получив доступ к ним, группировка загружала на устройства программы, позволяющие управлять выдачей наличных, говорится в расследовании.
Получив доступ к управлению банкоматами, преступники подходили к устройствам по выдаче наличных в разных концах города лишь с мобильным телефоном. «Он что-то сообщал по нему своим партнерам и готовил сумку. Через несколько минут банкомат начинал порциями выдавать деньги. После того, как деньги в банкомате заканчивались, человек повторно связывался с партнерами и уходил», — пишет Group-IB. После опустошенный банкомат перезагружался. По данным Group-IB, съемом денег занимались небольшие группы, которые переходили к заранее определенным банкоматам и снимали деньги в течение нескольких часов.