У Росії хакери слали заражені листи банкам і підприємствам

Хакери щонайменше з 11 вересня розсилали в російські банки листи з підроблених e-mail-адрес державних установ Російської Федерації.

У листах містився троян RTM для крадіжки грошей із сервісів дистанційного банківського обслуговування і платіжних систем, повідомила РБК компанія з кібербезпеки Group IB.

Адресатами листів були не лише банки, але й промислові та транспортні компанії.

За чотири місяці хакери відправили близько 11 тисяч повідомлень, більша частина з них припала на листопад, менша – на грудень.

Автори листів видавали себе за регіональні управління Міністерства праці, Росспоживнагляду, ФСВП та інші державні установи РФ.

У якості тем листів вказувалося: "Копії документів", "Службова записка" і т.п. До кожного листа додавався архів із трояном.

"Схема розкрадання проста: RTM викачує і запускає засоби віддаленого управління комп'ютером, після чого створюється платіжне доручення і відправляється в систему ДБО або через заражений комп'ютер, або з комп'ютера зловмисника", – зазначили в Group IB.

За оцінкою експертів, у середньому атака на одну юридичну особу приносила хакерам понад 1 мільйон рублів.

Про шкідливі листи в російські банки Group IB повідомляла і 15 листопада. Тоді вказувалася, що послання під виглядом офіційних повідомлень ЦБ отримало близько 50 банків, а також кілька фінансових установ за кордоном.

За даними "Лабораторії Касперського", вірус використовувало угруповання The Silence, в яке входять російськомовні хакери.

Воно й раніше займалося нападами на банки в Росії, Україні, Білорусії, Азербайджані, Польщі, Казахстані та Великобританії, а також на системи управління банкоматами, картковий процесинг і російську систему міжбанківських переказів АРМ КБР.

У кінці жовтня атаку на російські банки здійснило ще одне угрупування хакерів – MoneyTaker. У ході цієї атаки з підробленого адреси "ФінЦЕРТ", структури департаменту інформаційної безпеки ЦБ, також були розіслані листи з небезпечними вкладеннями, замаскованими під угоду про взаємодію з ЦБ з питань моніторингу.

Також стало відомо про кібератаку на 8 банків у Східній Європі за допомогою вірусу DarkVishnya. За даними фахівців "Лабораторії Касперського", вони зазнали збитки в декілька десятків мільйонів доларів. Хакери застосовували гаджети зі шкідливим ПЗ, які впроваджували в будівлі банків або підключали до корпоративних мереж.