Moscow-Live.ru

ФинЦЕРТ, подразделение российского ЦБ по кибербезопасности, в рамках информационного обмена разослал банкам предупреждение о новой угрозе - фишинговой рассылке вредоносного программного обеспечения с трояном intel security.exe. Эксперты считают, что этот троян принадлежит хакерской группировке Silence, которая в 2017 году атаковала банки в России, Армении и Малайзии, пишет газета "Коммерсант".

Участники рынка рассказали изданию, что специфика данного вредоносного вложения более чем сходна с теми, что использует Silence. Каждая такая группировка имеет свои особенности, поэтому классифицировать их с технической точки зрения вполне возможно.

Использование вредоносного ПО этого типа наблюдается с весны 2017 года, ФинЦЕРТ фиксировал случаи его распространения еще до того, как оно было классифицировано как Silence, сообщили газете в регуляторе. 20 октября 2017 года был выпущен бюллетень с описанием ВПО и правилами обнаружения.

Тем не менее до последнего времени о Silence почти не говорили, замечает издание. До конца марта 2018 года главной угрозой для банков в России считалась группировка Cobalt. В 2017 году она совершила 240 атак на российские кредитные организации, из которых 11 завершились успехом и хищением более 1 млрд рублей. Однако после задержания главы группировки ее деятельность приостановилась.

Методы Cobalt и Silence похожи, но есть различия. Cobalt делала "оптовые" рассылки, отправляя троян сотне банков сразу, а Silence действует более избирательно. Она использует инфраструктуру уже зараженных банков и отправляет сообщения от имени их настоящих сотрудников в другие кредитные организации, рассказал газете старший антивирусный аналитик "Лаборатории Касперского" Сергей Ложкин.

По его словам, часто текст фишингового письма выглядит как стандартный запрос на открытие корреспондентского счета.

В ЦБ изданию сообщили, что ФинЦЕРТ продолжает углубленный технический анализ по ряду сложных компьютерных атак, имевших негативные последствия, при необходимости дополнительная информация будет доведена до участников информационного обмена.

У всех вредоносных программ, используемых для атак на банки, примерно одинаковые принципы работы, а у использующих их лиц примерно одинаковые цели. Поэтому для принятия первоочередных мер по пресечению атаки важно не название группировки, а индикаторы компрометации конкретной атаки, пояснили представители Банка России.