Специалисты Group-IB представили отчет о деятельности группировки Buhtrap, которая не так давно поменяла «почерк» и теперь грабит российские и украинские банки, а не их клиентов. Хакерам уже удалось похитить порядка 1,8 млрд рублей.

Группа Buhtrap впервые попала на радары экспертов еще в 2014 году. В прошлом году компания ESET опубликовала отчет, в котором были подробно описаны методы работы злоумышленников. Теперь специалисты Group-IB сообщают, что с тех пор группа успела сменить тактику, и похищает деньги у самих финансовых учреждений, а не у их клиентов. От скоординированных кибератак уже пострадали тринадцать банков.

Группа Buhtrap начала атаковать финансовые учреждения в августе 2015 года. В отчете Group-IB как раз рассматривается период с августа 2015 года по февраль 2016 года. Новая тактика злоумышленников не сильно отличается от старых методик, но теперь к ним добавились направленные фишинговые письма, которые хакеры рассылают персоналу банков. Интересно, что члены Buhtrap рассылают фальшивые сообщения, чаще всего притворяясь Центробанком РФ. Похоже, это настоящий тренд в среде киберкриминала.

Фишинговые послания содержат вредоносные документы Word, после открытия которых происходит скачивание собственной малвари Buhtrap. Разработка сочетает функции бэкдора, кейлоггера и спайвари: ворует данные из буфера обмена, позволяет следить за происходящим на экране жертвы, а также скачивать на зараженную машину дополнительную малварь.

Сообщается, что теперь злоумышленники также используют червя, который получил название BuhtrapWorm. Червь позволяет хакерам оставаться в корпоративной сети до тех пор, пока заражена хотя бы одна машина. Чтобы полостью очистить сеть от червя и закрыть злоумышленникам доступ, понадобится отключение всей сетевой инфраструктуры банка.

Также малварь группы ищет на зараженных машинах приложение Automated Working Station of the Central Bank Client (AWS CBC, или АРМ КБР — Автоматизированное рабочее место клиента Банка России). Именно заражая АРМ КБР, хакеры научились подделывать легальные платежные поручения, подставляя в них данные своих аккаунтов, вместо настоящих данных получателей. Таким образом группировке удалось похить уже 1,8 млрд рублей за неполный год «работы».

Эксперты Group-IB пишут, что минимальная сумма хищения составила 25 600 000 рублей, средняя — 143 000 000 рублей, а самый крупных куш хакеров на сегодня равен 600 000 000 рублей. И это статистика только по российским банкам, ущерб, причиненный украинским финансовым учреждениям, специалистам оценить не удалось.

Кроме того, сообщается, что в начале февраля 2016 года исходные коды собственной малвари Buhtrap были открыто опубликованы на неназванном андеграундном форуме. Опубликовавший исходники человек, писал, что ранее он возглавлял разработку вредоносного ПО, однако ему перестали платить, поэтому он решил выложить сорсы в общий доступ. Вероятно, теперь можно ожидать роста числа подобных атак, если хотя бы часть инструментов Buhtrap стала доступна широкой публике.

Фото: Rob Pongsajapan 



6 комментариев

  1. mycybersec

    21.03.2016 at 10:11

    Что подразумевается под минимальной суммой хищения в 25 600 000 рублей в данной статье? Общий ущерб для отдельно взятого банка по ряду транзакций или минимальный размер одной транзакции?

  2. h0lera

    21.03.2016 at 18:33

    кроме марии статейки калякать больше некому? алё ребята это смех. ёлки палки. сначала прикрутили сайту галимый дизайн. потом пригласили редакторов. сколько можно уже писать эту чушь?
    лучше напишите. как ФСБ неожиданно для себя выяснило что получатели тех транзакций были их колеги. такое впечатление что шорки у редактора как у пони на манеже. даже если лямы эти были скомунизжены, кто их обналичил? с каких счетов? если таковые имеются, то на кого оформлены? или всё в биткоин утекло? или между биткоином и виза\мастер нет брокера?
    короче хакер привратился в индуханский портал, статейки а ля улю…

  3. Int

    22.03.2016 at 12:31

    Один вопрос: КУДА СТОЛЬКО?

Оставить мнение