Главари Carbanak/Fin7 за решеткой – но кибербанда сильна как никогда

Опубликовано at 19:25
175 0

Исследователи по кибербезопасности «Лаборатория Касперского» отметили активность киберпреступной группировки Fin7/Carbanak, которая продолжается даже после задержания ее лидеров. Более того, не просто продолжается, а усиливается, и даже сами методы Carbanak усложнились.

Чтобы объяснить такую аномальную активность, в «Лаборатории Касперского» придерживаются теории, что группа могла увеличить число атакующих групп, работающих под её «зонтичным брендом». Также специалисты полагают, что Fin7 продолжила практику найма сотрудников под видом вполне официального секьюрити-вендора. По данным «Лаборатории Касперского», на протяжении всего 2018 года киберпреступники активно занимались целевым фишингом, с помощью которого пользователям рассылались вредоносные программы, и к концу 2018 года Fin7 атаковала подобным образом более 130 компаний. Также есть косвенные доказательства, что Fin7 сотрудничает с организаторами ботнета AveMaria и группой CobaltGoblin/EmpireMonkey, стоящей за банковскими киберограблениями в Европе и Центральной Америке.

В настоящее время, по словам исследователей команды AT&T Alien Labs, киберпреступники пытаются эксплуатировать уязвимость в Microsoft Sharepoint, получившую идентификатор CVE-2019-0604, в реальных атаках. Предполагается, что за этой атакой тоже стоят Fin7. CVE-2019-0604 представляет собой брешь, способную привести к удаленному выполнению кода. Она существует благодаря тому, что SharePoint не может проверить исходную разметку набора приложений. В результате эксплуатация уязвимости сводится к следующему — атакующему нужно загрузить специально созданный набор приложений в затронутые версии программного обеспечения. «В случае успешной эксплуатации этой уязвимости атакующий сможет выполнить произвольный код в контексте пула приложений (application pool)», — пишет Microsoft в официальном сообщении.

АКБ напоминает, что печально известная (а для кого-то культовая) хакерская группировка Carbanak (она же Fin7, она же Cobalt) в 2019 году возобновила деятельность и добавила в свой арсенал абсолютно новое вредоносное ПО и инструменты администрирования. И это несмотря на то, что в прошлом году американские спецслужбы арестовали всех руководителей банды, действовавших под прикрытием на первый взгляд легитимной компании Combi Security.

Борьба с этой группировкой похожа на отсечение голов гидре – оставшиеся участники Carbanak по-прежнему сохраняют активность и продолжают совершенствовать свои инструменты и методы атак. Чаще всего они используют фишинг.

АКБ напоминает, что первая в 2018 году масштабная хакерская атака Carbanak на российский банк была проведена через ПО Банка России. В результате инцидента ПИР-банк лишился более 58 миллионов рублей.

По данным СМИ, хакеры вывели деньги с корреспондентского счета ПИР-банка в Центробанке, после того, как получили доступ к автоматизированному рабочему месту клиента Банка России (АРМ КБР) — специализированному ПО-админке, устанавливаемой на отдельный компьютер. АРМ КБР и ранее становились мишенью хакеров, но ранее Центробанк заверял, что успешных атак на ПО больше не будет.

По словам представителей пострадавшего банка, похищенные средства были выведены на пластиковые карты физлиц в 22 крупнейших российских банках и обналичены в разных регионах страны. До этого Carbanak похитили более миллиарда евро у 100 финансовых учреждений из 40 стран мира.

Подписываемся, следим @CyberAgency

Related Post