От имени ЦБ: Хакеры снова атаковали российские банки
15 марта десятки российских банков подверглись целевой атаке, организованной путем рассылки вредоносных писем на электронные адреса сотрудников. Особенностью этой атаки стало то, что киберпреступники впервые выдавали себя за FinCERT, специальный отдел в структуре Центрального Банка РФ, созданный около года назад для информирования российских банков об инцидентах информационной безопасности в финансовой сфере.
Как сообщает «Лаборатория Касперского», для проведения атаки злоумышленники зарегистрировали доменное имя fincert.net, заранее собрали специальную базу контактов, а также нашли и использовали данные закрытых информационных рассылок FinCERT.
Атака началась 15 марта примерно в полдень по московскому времени. Злоумышленники рассылали письма не наугад, а использовали специальную базу, возможно составленную из материалов отраслевых конференций или банковских служебных документов. Рассылка была адресной: каждое письмо начиналось с обращения по фамилии, имени и отчеству к конкретному получателю.
Письма отправлялись с адреса info@fincert.net, имеющее некоторое сходство с настоящим адресом FinCERT, и представляли собой инструкцию по запуску вложенного макроса, требующего ручной активации от пользователя. Собственно, макрос и являлся единственным вредоносным элементом на всех этапах данной атаки. При его запуске происходила попытка соединения с удаленным ресурсом для загрузки некоего файла, подписанного легальной цифровой подписью реально существующей московской компании. Этот файл позволяет злоумышленникам получить доступ к информационной системе банка.
«Мы видим, что киберпреступники не только обладают хорошими навыками и изощренными инструментами, но и тщательно продумывают сценарии атак. На этот раз они использовали бренд FinCert, созданный с обратной целью — предупреждать финансовые организации о кибергурозах», — комментирует главный антивирусный эксперт «Лаборатории Касперского» Александр Гостев.
Что касается совершенствования техники киберпреступников, то, по его словам, это уже обычная практика — использовать в атаках на банки легальные инструменты, чтобы скрыть следы вторжения в систему. В данном случае, например, легальными были все инструменты, кроме макроса.
«Этот инцидент еще раз подтверждает, что человеческий фактор представляет серьезную угрозу безопасности банков, поэтому мы рекомендуем уделять большое внимание обучению сотрудников правилам информационной безопасности», — отметил А. Гостев.
Как сообщает «Лаборатория Касперского», для проведения атаки злоумышленники зарегистрировали доменное имя fincert.net, заранее собрали специальную базу контактов, а также нашли и использовали данные закрытых информационных рассылок FinCERT.
Атака началась 15 марта примерно в полдень по московскому времени. Злоумышленники рассылали письма не наугад, а использовали специальную базу, возможно составленную из материалов отраслевых конференций или банковских служебных документов. Рассылка была адресной: каждое письмо начиналось с обращения по фамилии, имени и отчеству к конкретному получателю.
Письма отправлялись с адреса info@fincert.net, имеющее некоторое сходство с настоящим адресом FinCERT, и представляли собой инструкцию по запуску вложенного макроса, требующего ручной активации от пользователя. Собственно, макрос и являлся единственным вредоносным элементом на всех этапах данной атаки. При его запуске происходила попытка соединения с удаленным ресурсом для загрузки некоего файла, подписанного легальной цифровой подписью реально существующей московской компании. Этот файл позволяет злоумышленникам получить доступ к информационной системе банка.
«Мы видим, что киберпреступники не только обладают хорошими навыками и изощренными инструментами, но и тщательно продумывают сценарии атак. На этот раз они использовали бренд FinCert, созданный с обратной целью — предупреждать финансовые организации о кибергурозах», — комментирует главный антивирусный эксперт «Лаборатории Касперского» Александр Гостев.
Что касается совершенствования техники киберпреступников, то, по его словам, это уже обычная практика — использовать в атаках на банки легальные инструменты, чтобы скрыть следы вторжения в систему. В данном случае, например, легальными были все инструменты, кроме макроса.
«Этот инцидент еще раз подтверждает, что человеческий фактор представляет серьезную угрозу безопасности банков, поэтому мы рекомендуем уделять большое внимание обучению сотрудников правилам информационной безопасности», — отметил А. Гостев.
Код для вставки в блог | Подписаться на рассылку | Распечатать |
Другие материалы по теме:
- Хакеры атаковали пять крупнейших банков России
- «Лаборатория Касперского» зафиксировала волну DDoS-атак на российские банки
- «Лаборатория Касперского» признала Магнитогорск самым опасным городом в УрФ ...
- За последние четыре года русскоязычные хакеры похитили более $790 млн.
- Zecurion Analytics: 90% банков занимаются информационной безопасностью лишь ...