Group-IB: атаки хакерской группы Silence нанесли банкам ущерб на 52 млн рублей

 

Подтвержденный ущерб банков в более чем 25 странах мира от атак хакерской группы Silence составил 52 млн рублей. Такие данные представила компания в сфере расследования и предотвращения киберпреступлений Group-IB.

 

Специалисты компании впервые зафиксировали активность Silence в 2016 году. Тогда хакеры предприняли попытку вывести деньги через российскую систему межбанковских переводов АРМ КБР. Хищение удалось предотвратить благодаря тому, что злоумышленники допустили ошибки при подготовке платежного поручения.

 

С 2017 года хакерская группа стала проводить атаки на банкоматы. В результате первого подтвержденного специалистами Group-IB инцидента мошенникам удалось украсть из банкомата за одну ночь 7 млн рублей. В 2018 году при проведении атаки через карточный процессинг хакеры уже использовали банкоматы компании-партнера, что позволило им украсть 35 млн рублей. В апреле этого года они провели еще одну атаку на банкоматы, ущерб от которой за одну ночь составил 10 млн рублей.

 

Group-IB называет Silence одной из главных угроз для российских и иностранных банков после снижения активности группы Cobalt.

 

Хакеры группы используют при совершении атак фишинг, то есть рассылку электронных писем с ссылками, переход по которым позволяет злоумышленникам завладеть конфиденциальной информацией пользователя. Вначале Silence использовала взломанные серверы и скромпрометированные учетные записи. Позднее преступники стали создавать самоподписанные сертификаты и регистрировать фишинговые домены.

 

 

В Group-IB считают, что за Silence стоят русскоязычные хакеры, что обусловлено языком команд, расположением используемой атакующими инфраструктуры и самими целями преступников. Хакеры используют в коде русские слова, записанные в английской раскладке. Основные цели мошенников находятся в России, Украине, Белоруссии, Азербайджане, Польше, Казахстане, однако они рассылали фишинговые письма с целью заполучить конфиденциальную информацию также сотрудникам банков Центральной и Западной Европы, Африки и Азии.

 

Костяк группы Silence составляют два человека - разработчик и оператор.

 

"Разработчик имеет навыки высококвалифицированного реверc-инженера, он разрабатывает инструменты для проведения атак, модифицирует сложные эксплойты (программы, использующие уязвимости в коде), - отмечается в отчете Group-IB. - Однако при разработке допускает немало ошибок: это характерно для вирусного аналитика или реверс-инженера, он знает, как именно пишутся программы, но не знает, как правильно программировать. Второй член команды - оператор, он хорошо знаком с проведением тестов на проникновение, что позволяет ему ориентироваться внутри банковской инфраструктуры, именно он использует разработанные инструменты для получения доступа к защищенным системам внутри банка и запускает процесс хищений".

 

Ограниченность ресурсов Silence объясняет избирательность их атак, которые готовятся по несколько месяцев.

 

"Silence во многом переворачивает представление о киберпреступности: по характеру атак, инструментам, тактике и даже составу группы очевидно, что за этими преступлениями стоят люди, в недавнем прошлом или настоящем занимающиеся легальной работой - пентестами (тестами на проникновение) и реверс-инжинирингом, - считает технический директор и глава направления киберразведки Group-IB Дмитрий Волков. - Ряд инструментов Silence - легитимны, другие разработали они сами, взяв на вооружение опыт других групп".