2016

Group-IB: группа хакеров похитила у российских банков почти 2 миллиарда рублей

Group-IB подготовила отчет о деятельности киберпреступной группировки Buhtrap, которой в период с августа 2015 по январь 2016 удалось осуществить серию успешных атак на российские банки на общую сумму в 1,8 миллиарда рублей.

История Buhtrap – яркий пример эволюции киберпреступной группы, перешедшей от атак на клиентов банков к целевым атакам на сами банки. За 6 месяцев группировка провела 13 успешных атак, причем в двух случаях сумма хищения в 2,5 раза превысила уставной капитал банка.

600 млн ₽ – максимальная сумма хищения у российского банка (2016)
25,6 млн ₽ – минимальная сумма хищения у российского банка (2015)
143 млн ₽ – средняя сумма успешного хищения у банка
1 млрд ₽ – сумма хищения, которое удалось остановить в январе 2016
62% – среднее отношение суммы успешного хищения к уставному капиталу банка

Большинство заражений происходило с помощью фишинговых писем от имени Центрального банка РФ. Вредоносная программа, содержавшаяся в приложении к письму, позволяла преступникам находить в корпоративной сети компьютеры, на которых установлено Автоматизированное рабочее место клиента Банка России (АРМ КБР), и загружать на них средство удаленного управления. Антивирусные средства не распознавали используемые Buhtrap программы как вредоносные. После успешного подключения злоумышленники создавали мошеннические платежные поручения и отправляли их на исполнение.

Для эффективной защиты нужно знать и понимать тактику действий атакующих. Anunak, Corkow, Buhtrap – это только три из пяти активных группы, атакующих банки России. Уже сейчас мы видим еще две группы, которые только готовятся к атакам на банки. Традиционные средства защиты не способны предотвратить их. Эволюция угроз для финансового сектора требует повышения эффективности защиты банков и понимания действий атакующих, в том числе на основе данных киберразведки.

Дмитрий Волков

Руководитель сервиса киберразведки Bot-Trek Intelligence

Buhtrap — первая преступная группа, начавшая использовать сетевого червя для поражения всей инфраструктуры банка. Полная очистка сети и закрытие доступа злоумышленникам требует
отключения всей сетевой инфраструктуры банка. Кроме того, злоумышленники выводили из строя зараженные рабочие станции, чтобы усложнить сбор доказательной базы.

Важно отметить, что в феврале 2016 года исходный код вредоносной программы Buhtrap был опубликован в открытом доступе, что может привести к распространению её новых модификаций и увеличению числа аналогичных инцидентов.

Отчет Group-IB содержит описание тактики действия преступной группы, перечень индикаторов для выявления попыток компрометации корпоративной сети и набор рекомендаций для служб безопасности банков.

Скачать отчет «Buhtap: эволюция целевых атак на банки».

Group-IB — один из ведущих разработчиков решений для детектирования и предотвращения кибератак, выявления мошенничества, расследования высокотехнологичных преступлений и защиты интеллектуальной собственности в сети со штаб-квартирой в Сингапуре. Центры исследования киберугроз компании находятся на Ближнем Востоке (Дубай), в Азиатско-Тихоокеанском регионе (Сингапур), в Европе (Амстердам) и в России (Москва).

Система сбора данных о киберугрозах Group-IB Threat Intelligence & Attribution признана одной из лучших в мире по версии Gartner, Forrester, и IDC. Решение Group-IB Threat Hunting Framework (ранее — TDS) для проактивного поиска и защиты от сложных и неизвестных киберугроз получило признание ведущего европейского аналитического агентства KuppingerCole Analysts AG, а компания Group-IB вошла в число лидеров рынка в категориях «Product Leader» и «Innovation Leader». Технологии Group-IB по защите от онлайн-мошенничества в интернет-банкинге и сервисах электронной коммерции Fraud Hunting Platform получили признание Gartner, агентство присвоило Group-IB статус надежного поставщика в категории «Решения по выявлению онлайн-мошенничества». Решение Digital Risk Protection для выявления и устранения цифровых рисков, а также противодействия атакам с неправомерным использованием бренда получило престижную премию Innovation Excellence от глобального консалтингового агентства Frost & Sullivan.

В основе технологического лидерства компании и ее возможностей в сфере научных исследований и разработки — 18-летний практический опыт расследования киберпреступлений по всему миру и более 65 000 часов реагирования на инциденты информационной безопасности, аккумулированные в одной из крупнейших лабораторий компьютерной криминалистики, департаменте расследований и круглосуточном центре оперативного реагирования CERT-GIB.

Компания является резидентом «Сколково» и Иннополиса. Group-IB — партнер Europol.

Опыт Group-IB в поиске угроз и киберразведке был интегрирован в спектр решений, объединивший чрезвычайно сложное программное и системное обеспечение, с целью мониторинга, обнаружения и предотвращения кибератак.

Миссия Group-IB — защищать наших клиентов в киберпространстве, создавая и используя инновационные продукты и решения.

>

Сообщить об инциденте

Центр круглосуточного реагирования на инциденты
информационной безопасности +7 495 984-33-64

Отправляя форму, даю согласие на обработку своих персональных данных в соответствии с Федеральным законом «О персональных данных» от 27.07.2006 № 152-ФЗ
Спасибо, мы свяжемся с Вами в самое ближайшее время
Сообщить об инциденте