Вирус на миллиард долларов. Как кибербанда Carbanak обчищает российские банки

Международная хакерская группировка Carbanak, которую, как полагают эксперты по безопасности, создали выходцы из России, продолжает обчищать банковские счета. На этой неделе их жертвой стал российский "ПИР-банк", у которого хакеры с помощью вируса похитили со счетов в Центробанке 58 млн рублей. По словам экспертов, несмотря на недавнее задержание одного из лидеров группировки Carbanak и модернизацию систем безопасности в финансовых структурах, противостоять хакерам банки пока не могут — кибергангстеры не снижают свою активность и расширяют географию атак: в 30 странах мира ими было похищено около одного миллиарда долларов.

Глава Сбербанка Герман Греф был вынужден признать, что международная группировка Carbanak наводит ужас на российских банкиров.

— "ПИР-банк" лишился более 58 млн рублей со своего корсчёта в Банке России, нападение провела преступная группа Carbanak, — заявил глава Сбербанка Герман Греф на Международном конгрессе по информационной безопасности.

Впервые о транснациональной хакерской группировке Carbanak, в которую входят граждане России, Украины, стран Европы и Китая, стало известно ещё в 2013 году, когда один из украинских банков обратился в "Лабораторию Касперского" с просьбой разобраться, кто и как крадёт деньги из их банкоматов.

Сначала эксперты по кибербезопасности приняли этот инцидент как рядовую вредоносную атаку, однако спустя несколько месяцев с таким же "почерком" деньги вывели из другого банка, уже в России. Так эксперты из "Лаборатории Касперского" и познакомились с Carbanak.

— Они (Carbanak. — Прим. Лайфа ) используют рассылку фишинговых писем со ссылками на документы, содержащие вредоносный код или эксплоиты. Если цель скачивает документ и открывает его на версии MS Office без установленных обновлений, то на компьютер загружается вредоносный код, с помощью которого злоумышленники могут проводить разведку и дальнейшее продвижение по сети. Их цель — компьютеры и серверы, отвечающие за переводы денег / работу с банкоматами, — объяснил Лайфу руководитель российского исследовательского центра "Лаборатории Касперского" Юрий Наместников.

Хакеры из Carbanak выводят деньги из банков несколькими способами. Так, например, они научились дистанционно давать банкоматам команду на выдачу наличных, после чего забирают их. Другой вариант — украденные деньги переводятся из банка на счета киберпреступников через сеть SWIFT.

26 марта 2018 года Европол объявил об аресте одного из лидеров Carbanak. Хакер был задержан в Испании, а в его поимке помимо Европола участвовали ФБР, полиция Румынии, Белоруссии и Тайваня. Задержанным оказался гражданин Украины Денис К. При обыске у него изъяли компьютеры, ювелирные изделия на сумму свыше 500 тысяч евро, документы и два дорогих автомобиля. Кроме того, были арестованы счета задержанного и два дома стоимостью один миллион евро.

Банкиры было вздохнули, решив, что теперь все их беды закончились. Однако эксперты по кибербезопасности отмечают активность хакеров. В мае и июне 2018 года было замечено несколько новых волн фишинга, связанных с Carbanak, жертвами стали банки и процессинговые компании в разных странах мира. Атаки происходили с использованием уязвимостей CVE-2017-11882 и CVE-2017-8570.

По данным "Лаборатории Касперского", участники группировки расширяют географию своих атак. Помимо России и Украины они отметились в разных странах Европы, Малайзии, Непале, Кувейте, а также в Африке. По оценке экспертов, в общей сложности от них пострадало около 100 банков из 30 стран. Совокупный ущерб от действий Carbanak оценивается в миллиард долларов.

Эксперты признают, что защита многих банков против Carbanak оставляет желать лучшего.

— В большинстве своём финансовые организации — это достаточно крупные компании с сотнями и тысячами сотрудников и огромным парком компьютеров и серверов. При этом далеко не всегда во всех частях таких организаций применяются лучшие инструменты по защите от целевых атак, коими являются атаки Carbanak. Это хорошо спланированные нападения, атакующие прекрасно понимают, как работают финансовые организации по всему миру, — объясняет Юрий Наместников.