GroupIB: "Ограбление века" группировкой хакеров Anunak (Carbanak)

Вести 24, программа Вести.net16 февраля был выпущен отчет о деятельности хакеров из группировки Карбанак (Carbanak), известные так же как Anunak, и предположительно имеющие российские корни. Они сумели ограбить более 100 банков в 30 странах мира.По информации Лаборатории Касперского, злоумышленникам удалось украсть от 300 миллионов до 1 миллиарда долларов. Причем мишенью грабителей были именно банки, а не их клиенты. Первые следы атаки были обнаружены компанией Group-IB еще в начале 2013 года.А в августе 2013 года один из банкоматов в Киеве внезапно начал выдавать все свои деньги случайным, на первый взгляд, прохожим. Прибывшие для расследования эксперты выяснили, что проблема заключается вовсе не в банкомате. Как оказалось, все системы банка были заражены. И злоумышленники могли совершенно свободно управлять не только банкоматами, но также переводить на свои счета любые денежные суммы.Злоумышленники попадали во внутренние сети банков в обход традиционных систем защиты. Основным оружием хакеров был так называемый социальный инжиниринг, а также электронные письма, содержащие вредоносные приложения.«Злоумышленники отправляли фишинговые письма сотрудникам банка. Для того, чтобы сотрудник банка открывал вредоносные вложения, которые прикреплялись к письму, они отправляли эти письма от имени Центрального банка Российской Федерации, либо предварительно звонили сотруднику банка и говорили, что они являются юридическим лицом, которое хочет открыть вклад на крупную сумму денег и для этого обговаривали предварительные условия. После телефонного звонка они отправляли реквизиты вымышленной компании менеджеру банка. Менеджер открывал приложение и получал вредоносную программу на свой компьютер», — раскрыл технологию распространения вредоносного программного обеспечения руководитель отдела расследования компании Group-IB Дмитрий Волков.В итоге вирус распространялся по внутренней сети банка, пока не достигал сервера, где грабители перехватывали логины и пароли компьютера с административными полномочиями.«Снимали видео, делали фотоотчеты и отправляли их к себе на сервер. Видео и фотоотчеты были нужны для того, чтобы понять, в какое время работает оператор, как именно он работает с системами. Это чтобы не вызывать подозрений. После того, как они подробно изучали его действия, они просто повторяли те же действия через удаленный доступ. И денежные средства переводились не законным получателям, а туда, куда они захотели», — рассказывает о действиях кибермошенников Дмитрий Волков(Group-IB).Группа в Facebook: Группа в LinkedIn Twitter