Эксперты «Лаборатории Касперского» зафиксировали волну целевых атак на крупные банки нескольких стран Тропической Африки.

С первых дней января исследователи наблюдают тысячи попыток запуска малвари, в том числе модуля, который делает снимки экранов зараженных компьютеров. Используемые инструменты позволяют предположить, что за атакой стоит русскоговорящая группа Silence.

Хак-группа Silence очень активны с конца 2017 года, в основном их жертвы – финансовые организации по всему миру. Типичный сценарий атаки начинается с рассылки фишинговых писем с вредоносными вложениями. Часто злоумышленники используют инфраструктуру уже зараженных организаций и отправляют сообщения от имени настоящих сотрудников. Если получатель откроет вложение, его компьютер подвергается попытке заражения сразу несколькими модулями трояна, конечная цель которых — собрать информацию об устройстве и отправить ее управляющему серверу. Один из основных модулей делает снимки экрана зараженного компьютера.

Атакующие также используют легитимные администраторские инструменты, чтобы долго оставаться незамеченными. Проникнув в корпоративную сеть, злоумышленники изучают инфраструктуру и внутренние процессы, после этого крадут деньги, например, через банкоматы. В среднем злоумышленники пытаются вывести около миллиона долларов из каждой организации.

На основе данных об активности Silence в нескольких странах Африки, зафиксированной «Лабораторией Касперского», можно предположить, что злоумышленники уже проникли во внутреннюю сеть организаций и сейчас атаки находятся на финальных стадиях.

«С первых дней 2020 года решения “Лаборатории Касперского” ежедневно фиксируют тысячи нотификаций об атаках на инфраструктуру банков в Африке. Ранее злоумышленники концентрировались на организациях Восточной Европы, Азиатско-Тихоокеанского региона и Латинской Америке, с конца 2019 фокус их внимания сместился, что говорит о стремительном расширении географии атак, – говорит Сергей Голованов, ведущий антивирусный эксперт «Лаборатории Касперского». – В основном цель Silence – кража денег, однако в ходе атаки они получают доступ также к большому объему конфиденциальных данных, которые могут использовать в дальнейшем, поэтому мы настоятельно рекомендуем банкам принять все необходимые меры кибербезопасности».

В свою очередь, специалисты Group-IB пишут, что еще летом 2019 года специалисты компании зафиксировали атаки на банки Чили, Коста-Рики, Ганы, Болгарии и Бангладеш. Все банки были оперативно уведомлены, но в нескольких случаях жертвы не сумели адекватно отреагировать на угрозу. Именно это и произошло с Dutch-Bangla — банком из Бангладеш.

После нескольких краж все же удалось задержать шестерых граждан Украины, нанятых группой Silence для вывода денег. Изучив атаки, специалисты пришли к выводу, что для них использовался новый уникальный инструмент, получивший название EDA и банкоматный троян xfs-disp.exe, ранее использованный Silence при атаке на Омский ИТ банк. А первичное заражение осуществляется при помощи инструмента ServHelper backdoor. По некоторым данным, первичные атаки осуществлялись другой хакерской группой TA505, которые затем перепродали доступ в интересующие банки хакерам Silence. Но подтвердить причастность к атакам ТА505 на данный момент не представляется возможным.

«В ноябре 2019 года система Threat Intelligence Group-IB зафиксировала активность хакерской группы Silence в Сенегале (Африка), где использовались те же самые инструменты, а также новая версия трояна собственной разработки — XDA. Все взаимодействие между бэкендом и скомпрометированной инфраструктурой должно осуществляться посредством DNS-запросов, — рассказал Рустам Миркасымов, руководитель отдела динамического анализа вредоносного кода Group-IB.—  В то же время и ТА505 весьма активно проводит атаки на африканские банки и фин учреждения с конца 2018 года, а их активность в регионе в конце 2019 достигла пика. Все это говорит о том, что Silence будет наращивать свое присутствие в регионе».

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии