«Юнистрим» атаковал банки вредоносной рассылкой

Источник
ЦБ предупредил о рисках сотрудничества с ним платежные системы и банки.
В понедельник ЦБ предупредил рынок о взломе хакерами банка «Юнистрим», который обернулся фишинговой рассылкой с вредоносом с легального адреса банка другим кредитным организациям. Банки и платежные системы получили информацию от ФинЦЕРТ (подразделение ЦБ по кибебезопасности). Хакеры выводили средства в систему денежных переводов «Юнистрим», просто подменяя получателя средств, размер ущерба оценивается как существенный, но не раскрывается. Примечательно, что это уже вторая такая атака на банк «Юнистрим», но в первый раз кредитная организация, по информации “Ъ”, решила отказаться от помощи ФинЦЕРТ, пообещав справиться своими силами.

19 ноября ФинЦЕРТ предупредил кредитные организации о рассылке фишинговых писем с вложением вредоносного программного обеспечения от имени банка «Юнистрим», рассказали “Ъ” участники рынка. По их словам, ФинЦЕРТ подчеркнул, что адрес отправителя вредоносов [email protected] является легальным почтовым адресом банка. Письма по кредитным организациям рассылались с заголовком «Попытки хищений». Регулятор настоятельно рекомендует банкам удалять всю входящую корреспонденцию от кредитной организации, обновить антивирусные базы, контролировать соединения с приведенными в рассылке IP-адресами и т. д.

Как сообщили “Ъ” в «Лаборатории Касперского», в рассылке содержался файл *.scr, который после загрузки обращается в интернет для последующего скачивания еще одного вредоноса. Собеседник “Ъ”, знакомый с ситуацией, отметил, что в данном случае имела место не мимикрия под действующую организацию, а реальный взлом банка, причем уже второй раз в этом году. Источники “Ъ”, близкие к банку, рассказали, что в начале октября хакерам, предположительно из группировки «Кобальт», удалось вывести средства из банка через платежные системы. Заражение банка было произведено через сделанную от имени крупного банка фишинговую рассылку, с помощью которой хакерам удалось похитить средства (сумма неизвестна).

Повторное заражение банка побудило ФинЦЕРТ предупредить об атаках не только банки, но и платежные системы, через которые при данном типе атак выводятся деньги. Дело в том, что, взломав систему, хакеры просто подменяют данные получателя перевода и спокойно забирают средства. Такая схема — редкость. «Нам сообщили, что "Кобальт" занялся системами переводов по новой схеме,— рассказывает собеседник “Ъ” на платежном рынке.— Хакеры дважды взломали базу "Юнистрим", причем сделали следующее: прямо в базе по реальным переводам меняли реальное ФИО на подставное и получали перевод на нужное лицо». Так как переводы крупные, то это более эффективно, чем с картами или платежами, подытожил собеседник “Ъ”.

В самом банке подтвердили первый взлом (октябрьский). «Хакерские атаки иногда происходят, но каких-либо существенных потерь в результате их "Юнистрим" не понес,— сообщил “Ъ” предправления КБ "Юнистрим" Кирилл Пальчун.— Наличие атаки никто не отрицает, но это не значит, что она была успешной». Что же касается ноябрьской истории, то глава банка уверен — проникнуть в банк хакерам не удалось. «Была произведена попытка несанкционированного доступа к почтовому серверу, которая была своевременно предотвращена антифрод-системами банка. Информационные системы банка не пострадали, об указанном инциденте был уведомлен ЦБ, а также партнеры "Юнистрим", системы работают в штатном режиме. Эта рассылка могла вестись с любых адресов, не только наших»,— резюмировал он.

Эксперты по информационной безопасности отмечают, что с большой долей вероятности вчерашняя рассылка с почты банка — это результат недостаточно качественного расследования предыдущего случая. «В случае инцидента банки в первую очередь ликвидируют последствия (восстанавливают работоспособность систем и пр.),— отметил директор экспертного центра безопасности Positive Technologies Алексей Новиков.— Полноценное же расследование с выявлением первоначального вектора проникновения, анализ всей инфраструктуры на предмет того, где еще мог закрепиться злоумышленник, проводится в разы реже». «В нашей практике были случаи, когда прямо во время проведения расследования по следам инцидента мы фиксировали повторную активность злоумышленников в инфраструктуре,— продолжил эксперт,— то есть киберпреступники заходили повторно».

Как сообщил “Ъ” собеседник, знакомый с ситуацией в банке, после октябрьского инцидента банку поступали предложения от специализирующихся на информационной безопасности компаний и ФинЦЕРТ о проведении полноценного расследования и аудита состояния систем информационной безопасности банка, однако кредитная организация предпочла справиться своими силами. На вопрос о проведении аудита информбезопасности и расследовании предыдущего инцидента в банке ответили уклончиво. «Конечно, мы работаем с крупными компаниями по информбезопасности, постоянно совершенствуем IT-системы»,— отметил Кирилл Пальчун.

В то же время вчерашний случай несет колоссальные риски не только самому банку, но и другим участникам рынка. «Важно, что рассылка вредоноса шла с легитимного почтового ящика,— отмечает Алексей Новиков.— В каждом четвертом случае сотрудники банка открывают фишинговые письма, если они пришли от реальной компании-партнера. Если здесь рассылка была по контактам из адресной книги, к которой также мог быть получен доступ, успешность фишинговой рассылки составит практически до 100%». И сейчас, по словам эксперта, необходимо оперативное и полноценное расследование произошедшего инцидента, чтобы определить всю цепочку получателей таких писем и возможную зону поражения не только «Юнистрима», но и всех его партнеров.
Персоны Компании
«Лаборатория Касперского» пойдет в суд с Нидерландами
Представитель компании сообщил Forbes, что разработчик антивирусов не подаст иск, если ограничения на программное обеспечение, наложенные Амстердамом, будут отменены.
Герман Греф потек на личные данные
Личные данные 420 тысяч сотрудников Сбербанка стали достоянием общественности. Причиной утечки могли стать злонамеренные действия одного из сотрудников банка. 
Как связано дело полковника ФСБ Сергея Михайлова с разоблачением офицеров ГРУ
Самый громкий скандал последних лет, связанный с госизменой заместителя руководителя Центра информационной безопасности ФСБ (ЦИБ) полковника Сергея Михайлова и его сообщников, вышел на финишную прямую.
Трое сотрудников ФСБ обвиняются в выдаче гостайны за 10 миллионов долларов
Дела обвиняемых в измене офицеров ФСБ дошли до суда.
Шахматы после Илюмжинова: с какими проблемами столкнется Дворкович в ФИДЕ
После избрания президентом ФИДЕ Аркадий Дворкович будет заниматься привлечением инвестиций. 
«Лаборатория Касперского» оценила эффект от негативных публикаций в США
Из-за негативных публикаций в американских СМИ и «геополитического давления» нематериальные активы «Лаборатории Касперского» в США обесценились на 3 миллиона долларов. Это не помешало компании возобновить выплату дивидендов акционерам.
Основатель Qiwi отправился в кругосветное путешествие
Перемещаясь по 30 странам, он продолжит управлять компанией.
Шпионы выпустили на свободу создателя «Шалтая-Болтая»
Владимир Аникеев (Льюис), который намерен написать книгу о деятельности хакерской группировки, приглашен на профилактическую беседу в ФСБ.
Ставку для букмекеров нашли в Уголовном кодексе
Возбуждено дело против руководителей и сотрудников «Росбета».
«Если бояться санкций, не нужно ничего делать»
Аркадий Дворкович, в прошлом вице-премьер, а сейчас сопредседатель фонда «Сколково», рассказал  об обстоятельствах ухода из правительства, причинах бензинового кризиса и отношении к пенсионной реформе.
Аркадия Дворковича сплавили в Нью-Васюки
Для бывшего вице-премьера РФ, растерявшего окончательно свое влияние, приготовлена спокойная, но нищебродская "пенсия".
Касперский уходит из Европы на Ближний Восток
Отказ Евгения Касперского от сотрудничества с Европолом стал очередным шагом по сокращению присутствия его компании на западных рынках.
Европарламент объявил программы «Лаборатории Касперского» вирусами
В ответ компания остановила сотрудничество с Европолом.
Интернет-мошенники удачно сходили на фишинг в РФ и на Украину
Злоумышленники копировали сайты государственных компаний и организаций, где за небольшую оплату предлагалось зарегистрироваться пользователям.
«Лаборатория Касперского» продолжает бороться за свой софт в США
Компания собирается обжаловать решение суда.
Герман Клименко попытался взять Microsoft "на испуг"
Советник президента по интернету Герман Клименко допустил, что в ответ на ограничения, наложенные властями США на «Лабораторию Касперского», американскую компанию Microsoft могут «попросить покинуть» Россию.
Роковая дама
Как Аркадий Волож, Борис Минц, Григорий Беджамов и другие олигархи не смогли сохранить в тишине мальтийское гражданство
Алексей Ананьев рассказал, зачем он разделил бизнес с братом
Алексей Ананьев объявил, что впредь он и его брат ведут бизнес самостоятельно – после санации Промсвязьбанка братья поделили активы.