Период затишья в сфере кибератак на банки закончился — не прошло и месяца с обезвреживания главы группировки Cobalt, нанесшей серию успешных кибератак на банки, как отмечено появление новой угрозы. Банки получают рассылки, в которых содержится троян, ранее задействовавшийся злоумышленниками только для атак на их клиентов, но после того, как группировка Cobalt ушла, троян был переформатирован под атаки на банки. Несмотря на отсутствие хищений, ЦБ указывает на массовый характер атак и высокий уровень рисков.
От банков—участников информобмена с FinCERT (спецподразделение ЦБ по кибербезопасности) стало известно о получении в минувшую среду рассылки, предупреждающей о новой угрозе в виде рассылки фишинговых писем, содержащих вложение - шпионский троян Dimnie. Причем, по словам отдельных игроков, им уже пришли такие фишинг-рассылки.
До недавних пор главный враг, угрожавший банкам, был представлен группировкой Cobalt, в 2017 году совершившей на них 240 попыток атак, из которых 11 оказались успешными. В итоге добычей группировки стало свыше 1 млрд руб. Основная специализация Cobalt - веерные рассылки фишинговых писем, содержащих зловред, способный вывести деньги через карт-процессинг, платежную систему Банка России, SWIFT. Но после того, как задержали главу группировки, рассылки сошли на нет.
Спокойствие оказалось недолгим. Шпионский троян Dimnie, прежде угрожавший компаниям, приспособили под атаки на банки. По словам консультанта по безопасности Cisco Алексея Лукацкого, впервые Dimnie зафиксировали еще в 2014 году. Но до недавних пор в атаках на банки им не пользовались. Как сказал руководитель экспертного центра безопасности Positive Technologies Алексей Новиков, главная цель этого трояна - клиенты банков, физлица или организации. При максимальном упрощении конечную цель трояна Dimnie: подменить реквизиты получателя в платежных поручениях в 1С, в итоге это способствует переводу денег на подложный счет преступника.
Сегодня радиус применения Dimnie расширился - использованием Dimnie возможна реализация разных схем атак, и на банки тоже. Новый троян - это предоставление различных возможностей, в том числе по удаленному администрированию. Обладая правами администратора, злоумышленникам теоретически открывается доступ к выводу средств из банка любым способом: с помощью карточного процессинга, АРМ КБР или SWIFT.
Про существование трояна ЦБ знает примерно с ноября прошлого года, когда эту угрозу обозначила в своем бюллетене компания FinCERT. Что характерно, FinCERT не фиксировались хищения денежных средств у банков в ходе атак, при которых использовался Dimnie. И сегодня факты хищения денежных средств с использованием этой троянской программы отсутствуют.
По мнению экспертов, у Dimnie широкие возможности. По словам эксперта по техрасследованиям центра мониторинга и реагирования на кибератаки Solar JSOC Виктора Сергеева, устройство заражается при открытии пользователем вредоносного вложения из письма. Запустившись, троян приступает к скачиванию дополнительных модулей и сбору логинов и паролей от аккаунтов жертвы в разных интернет-сервисах и программах — это и почта, и соцсети, и криптовалютные кошельки. В Dimnie встроен кейлоггер (программа-шпион для перехвата всех набранных на клавиатуре комбинаций клавиш), который помогает злоумышленникам получать данные учетных записей пользователя в корпоративных системах.
Несмотря на то что пока банкам не причинен никакой ущерб от Dimnie, специалисты уверены, что недооценка новой угрозы чревата большими потерями. По словам главы управления информбезопасности ОТП-банка Сергея Чернокозинского, мы не знаем, кто захочет взять на вооружение этот инструмент. Сейчас атаки на банки можно сравнить с первыми шагами злоумышленников, но потом они могут доработать троян, и он превратится в серьезную угрозу.
По единому мнению специалистов по информбезопасности, сегодня, если проявлять должную бдительность, угроза вполне выявляема. По мнению Алексея Лукацкого, важно мониторить интернет-трафик (в особенности DNS), защиту e-mail и решения класса EDR (Endpoint Detection and Response). Роль традиционных антивирусов и обычных межсетевых экранов в таком деле крайне мала.
