Неизвестные злоумышленники пустили вход повреждающую жесткие диски малварь во время атаки на крупнейший чилийский Banco de Chile.Таким образом преступники отвлекали внимание сотрудников финансового учреждения, пока пытались вывести деньги через международную систему передачи финансовой информации SWIFT.
Инцидент произошел 24 мая 2018 года и спровоцировал сбои во множестве систем банка, а также затронул сразу несколько подразделений. Хотя все онлайновые сервисы продолжили работать, местные СМИ сообщали (1, 2, 3), что многие внутрибанковские операции практически остановились.
Изначально представители банка отказывались признать случившееся кибератакой, но 28 мая, было выпущено заявление, в котором руководство Banco de Chile признало, что банк был атакован неким «вирусом». При этом до сих пор неизвестно, удалось ли ограбление, и сумели ли преступники похитить деньги.
Журналисты BleepingComputer пишут, что согласно опубликованным в социальных сетях фотографиям, которые размещали сами сотрудники пострадавшего банка, малварь умышленно повреждала зараженные машины и затирала MBR, подобно NotPetya. После этого пострадавшие системы предсказуемо переставали загружаться. Кроме того, на одном чилийском форуме был опубликован скриншот частной переписки одного из служащих банка, в котором сообщалось, что в ходе атаки были выведены из строя более 9000 компьютеров и 500 серверов.
ИБ-эксперты, разбиравшие случившееся в Banco de Chile, пишут, что атаковавшая финансовое учреждение малварь известна под различными идентификаторами, включая KillMBR. Под этим именем известен вредонос KillDisk, ранее атаковавший крупные банки и организации в Европе, а затем переключивший свое внимание на страны Латинской Америки. Напомню, что KillDisk – это вайпер и вымогатель, намеренно затирающий MBR, чтобы не оставлять практически никаких улик киберкриминалистам.
По странному стечению обстоятельств на этой неделе эксперты Trend Micro опубликовали новый отчет, посвященный активности KillDisk. Эксперты рассказали, что малварь продолжает использоваться в Латинской Америке (именно о Чили в отчете не упоминалось), только новая версия вредоноса применяется исключительно как вайпер, функциональность вымогателя отключена. Именно такое поведение малвари и демонстрировали опубликованные сотрудниками Banco de Chile фотографии.
Кроме того, аналитики Trend Micro связывают новые атаки в Латинской Америке с деятельностью хакерской группы, которая недавно атаковала крупные мексиканские банки.
«Наш анализ показывает, что данные атаки использовались просто для отвлечения внимания. Конечной целью [преступников] было получение доступа к системам, которые соединены с локальной банковской сетью SWIFT», — пишут эксперты, скорее всего, подразумевая именно недавний инцидент в Banco de Chile.
Фото: Depositphotos