Хакерская группировка успешно атаковала корсчет банка в ЦБ впервые с 2018 года

Впервые за 3 года специалисты компании в области кибербезопасности Group-IB выявили успешную атаку на систему межбанковских переводов АРМ КБР (автоматизированное рабочее место клиента Банка России). Об этом пишут «Ведомости» со ссылкой на отчет компании, посвященном анализу актуальных киберугроз для банков и финансовых организаций за второе полугодие 2020 г. – первое полугодие 2021 г. На какой именно банк была совершена атака и сумму хищения в Group-IB не раскрывают, но представитель компании уточнил «Ведомостям», что это была крупнейшая сумма за последние годы, выведенная таким путем.

Представитель ЦБ РФ подтвердил, что регулятору известно об инциденте и по итогам разбора его причин до участников информационного обмена «доведен соответствующий информационный бюллетень ФинЦЕРТ».

Система АРМ КБР позволяет банкам проводить платежи с Центробанком через открытые у него корсчета. Мошенникам удалось подделать часть файлов, когда банк отправлял платежи в Банк России, в результате средства с корсчета банка осели на счетах злоумышленников.

Изучив тактики, техники и процедуры киберпреступников, эксперты Group-IB пришли к выводу, что за атакой стояла русскоязычная хакерская группировка MoneyTaker, участников которой до сих пор не удалось раскрыть. В 2016-2019 гг. группа атаковала АРМ КБР и системы карточного процессинга в Великобритании, Гонконге, США, на Украине и в России. В России за все время хакеры совершили 5 атак на банки и одну – на юридическую фирму. Основной целью атак группы в России была система межбанковских переводов АРМ КБР. Средний размер ущерба от одного инцидента составил 72 млн руб., сообщали в Group-IB, хотя часть денег пострадавшим банкам удалось вернуть. Общая сумма финансовых потерь превысила $3 млн.