Хорошо знакомая как экспертам по безопасности, так и банкирам, хакерская группировка Silence отдохнула на новогодних каникулах, и ударно взялась за дело. Массовая фишинговая рассылка от хакеров насчитывает более 80 тыс. получателей. Среди них сотрудники российских кредитно-финансовых организаций, большую часть которых составляют банки и крупные платежные системы. С начала текущего года это самая крупная атака на российские банки.
Массовая атака началась с фишинговых рассылок Silence 16 января. Впервые в практике Silence вредоносное вложение было замаскировано под приглашение на iFin-2019. Интересно, что XIX Международный Форум iFin-2019 «Электронные финансовые услуги и технологии», действительно, пройдет в Москве 19 и 20 февраля, о чем организаторы мероприятия сделали рассылку около 9 утра по Москве 16 января. Через несколько часов свое «приглашение» отправили Silence. Фальшивая рассылка велась от имени «Forum iFin-2019», но с адреса info@bankuco[.]com. Текстовые совпадения указывают на то, что в своем письме злоумышленники использовали официальный анонс-приглашение, но отредактировали его. — Group-IB
«Заполните анкету в приложенном архиве и перешлите нам. Вы получите два бесплатных пригласительных и название Вашего банка будет размещено на официальном портале форума», – сообщалось в письме Silence. В аттаче к посланию был прикреплен ZIP-архив, внутри которого приглашение на банковский форум и вредоносное вложение Silence.Downloader aka TrueBot – инструмент, эксклюзивно используемый хакерами из Silence.
По данным экспертов, в январе группировка провела еще две точечные фишинговые рассылки, также направленные на российские банки. Silence отправляли письма якобы от имени начальников отделов межбанковских операций несуществующих банков. Они обращались в банки с просьбой оперативно рассмотреть вопрос по открытию и обслуживанию корреспондентских счетов их организаций. К письму был прикреплен архив с договором, при распаковке которого на компьютер жертвы загружалось вредоносное ПО Silence.Downloader.
«Очевидно, что масштаб действий Silence увеличивается: мы наблюдаем рост атак не только по России, но и активные действия в отношении европейских и ближневосточных финансовых компаний» , – эксперт Group-IB Рустам Миркасымов.
АКБ напоминает. что в октябре и ноябре 2018 года хакеры дважды атаковали 52 российских и 5 зарубежных банков с помощью писем, направленных от имени ЦБ. В письме был поддельный приказ «необходимый к прочтению всем сотрудникам», в котором содержалась вредоносная программа Silence.Downloader.
Group-IB ранее сообщали, что ущерб российской финансовой сферы от хакерских атак за 2018 год составил 2,96 миллиарда рублей. В России каждый месяц происходят хакерские взломы одного-двух банков, самые опасные хакерские группировки — MoneyTaker, Silence и Cobalt, а также северокорейская Lazarus. Ежедневно в России фиксируется более 1270 фишинговых атак, нацеленных на онлайн-кабинеты банков.
