Небольшая хакерская группа разослала письма с трояном от имени Центробанка более чем в 50 банков

В течение 15 ноября более 50 российских банков получили письма с вредоносным кодом, по стилю и оформлению идентичные письмам из Центробанка. Атаку организовала российская хакерская группа Silence, атакующая именно финансовые организации. Кто именно из банков мог пострадать, пока не известно. Однако деньги со счетов клиентов в результате атаки могут начать исчезать и через некоторое время.

Об атаке сообщила компания Group IB, которая занимается расследованием и предотвращением киберпреступлений. Получателями писем были не менее 52 банков в России и не менее пяти — за рубежом, в реальности число атакованных банков могло превышать 100 организаций.

Письма были практически неотличимы от посланий ЦБ по стилю и оформлению, адрес отправителя был подделан. Как предполагает Group IB, хакеры имели доступ к подлинным письмам ЦБ и смогли очень успешно имитировать их. В фальшивых письмах хакеры предлагали сотрудникам банков ознакомиться с постановлением Центробанка «Об унифицировании формата электронных банковских сообщений ЦБ РФ» и немедленно приступить к его выполнению, для чего нужно было распаковать вложенный архив, где содержался троян.

Хакерская группа Silence состоит всего из двух человек, писала Group IB в сентябре этого года. Она впервые была замечена в 2016 году и специализируется именно в атаках на финансовые организации. Не всегда её атаки были успешными, однако за время своей работы хакеры смогли украсть у банков более $800 000, подсчитали специалисты Group IB.

В 2018 году хакерские атаки на российские банки были немногочисленными. О первой серьёзной атаке стало известно лишь в июле этого года. Тогда хакеры украли более 58 млн рублей у небольшого ПИР-банка с его корсчёта в ЦБ. Однако последствия атаки 15 ноября могут проявиться позднее: вредоносное программное обеспечение может какое-то время оставаться неактивным.