Хакеры украли два миллиарда рублей с помощью социнженерии

Вирусная программа Buhtrap и рассылка российским банкам информационных сообщений с поддельных электронных адресов, якобы принадлежащих Центробанку, позволила хакерам за последнее полугодие похитить около 2-х миллиардов рублей.

По предварительным данным, подобных атак на российские банковские системы с использованием Buhtrap было уже 13, последняя из которых зарегистрирована 14 марта. В начале месяца в результате аналогичной атаки злоумышленники вывели более 670 миллионов рублей со счета Металлинвестбанка. Сотрудникам компании удалось вернуть часть денег, но порядка 200 миллионов рублей все-таки попали в руки взломщиков.

Данный вирус специализируется на заражении автоматизированного рабочего места клиента Банка России (АРМ КРБ) и выводе денежных средств со счета банка. Для достижения своей цели хакеры пользуются фишингом: рассылают грамотно построенные уведомления, маскируясь под ЦБ РФ или другие известные банковские структуры. В каждом таком сообщении содержится документ, при открытии которого и происходит заражение системы. Чаще всего вирус остается незаметным даже для суперсовременных антивирусных программ.

Самые первые случаи использования Buhtrap для кражи денег зафиксированы в августе прошлого года, но конкретно на банковские системы хакеры переключились в октябре 2015. Первая рассылка, о которой известно из официальных источников, произошла 22 октября. Письма с вредоносным кодом направлялись на официальные контакты российских банков с электронного ящика support@cbr.ru.com

В дальнейшем хакеры еще не раз рассылали банкам сообщения с адресов, которые по умолчанию даже у банковских работников не вызывали подозрения и ассоциировались с влиятельными финансовыми компаниями. В каждом случае в письмо внедрялся вирус или автоматический загрузчик, самостоятельно скачивающий Buhtrap из интернета. После окончательной загрузки на компьютер, программа получала доступ к АРМ КРБ и приступала к выводу денежных средств на счета других банков. Далее деньги переводились на счета обычных пользователей. Часть из них банкам практически всегда удавалось вернуть, но, учитывая объемы хищений, хакерам перепала немалая сумма.

Предполагается, что все атаки совершались одной и той же группой лиц, однако они до сих пор не установлены. В настоящий момент банки не выработали какой-либо единой меры для противостояния Buhtrap, и каждая отдельная организация использует собственную систему безопасности.