ФинЦЕРТ (подразделение ЦБ РФ по кибербезопасности) в рамках информационного обмена уведомил банки о новой угрозе — фишинговой рассылке вредоносного программного обеспечения (ВПО) с трояном intel security.exe, эксперты уверены, что данный вредонос принадлежит хакерской группировке Silence, пишет газета «Коммерсант» со ссылкой на участников рынка.
Группировка Silence в 2017 году атаковала банки в России, Армении и Малайзии. Как заявил изданию руководитель экспертного центра безопасности Positive Technologies Алексей Новиков, специфика данного вредоносного вложения более чем сходна с теми, что использует Silence. Каждая такая группировка имеет свои особенности, поэтому классифицировать их с технической точки зрения вполне возможно.
В Банке России подтвердили факт сообщения о вредоносе. Использование ВПО этого типа наблюдается с весны 2017 года, ФинЦЕРТ фиксировал случаи его распространения еще до того, как оно было классифицировано как Silence, сообщили газете в регуляторе. 20 октября 2017 года был выпущен бюллетень с описанием ВПО и правилами обнаружения.
Тем не менее до последнего времени о Silence почти не говорили, пишет газета. До конца марта 2018 года главной угрозой для банков в России считалась группировка Cobalt. В 2017 году она совершила 240 атак на российские кредитные организации, из которых 11 завершились успехом и хищением более 1 миллиарда рублей. Но после задержания главы группировки ее деятельность приостановилась.
Эксперты указывают, что методы Cobalt и Silence похожи, но есть различия. Cobalt делала «оптовые» рассылки, отправляя вредонос сотне банков сразу. Silence действует более избирательно. Злоумышленники используют инфраструктуру уже зараженных банков и отправляют сообщения от имени их настоящих сотрудников в другие кредитные организации, сказал газете старший антивирусный аналитик «Лаборатории Касперского» Сергей Ложкин. По его словам, часто текст фишингового письма выглядит как стандартный запрос на открытие корреспондентского счета.
В Банке России газете сказали, что ФинЦЕРТ продолжает углубленный технический анализ по ряду сложных компьютерных атак, имевших негативные последствия, при необходимости дополнительная информация будет доведена до участников информационного обмена. У всех ВПО, используемых для атак на банки, примерно одинаковые принципы работы, а у использующих их лиц примерно одинаковые цели, пояснили в ЦБ. Поэтому для принятия первоочередных мер по пресечению атаки важно не название группировки, а индикаторы компрометации конкретной атаки.