Хакерам удалось украсть у российского банка 500 млн. рублей с его корсчета в ЦБ РФ

Дата: 15.12.2021. Автор: Артем П. Категории: Новости по информационной безопасности
Хакерам удалось украсть у российского банка 500 млн. рублей с его корсчета в ЦБ РФ

Киберпреступная группа MoneyTaker провела успешную кибератаку на один из российских банков через его рабочее место в Банке России. Аналогичная атака ранее проводилась около трех лет назад. В издании РБК уточняют, что злоумышленникам удалось украсть около 500 млн. рублей.

Впервые с 2018 года хакеры из группировки MoneyTaker в начале текущего года смогли провести успешную кибератаку, украв крупную сумму денег (около полумиллиарда рублей) у одного из банков РФ. Атака была проведена через автоматизированное рабочее место клиента ЦБ РФ (АРМ КБР). С соответствующим заявлением выступила Group-IB, рассказав об этом в своём новом отчете.

АРМ КБР применяется для выполнения межбанковских переводов денежных средств с корреспондентского счета, который открыт в Банке России.

«В течение нескольких лет о группировке MoneyTaker ничего не было слышно, но в 2021 году она провела крайне успешную хакерскую атаку. Скорее всего, киберпреступники, с учетом похищенной суммы, вряд ли остановятся на этом, продолжив проводить атаки на АРМ КБР», – сказано в отчете Group-IB.

Эксперты уточнили, что в 2018 году хакеры из MoneyTaker провели аналогичную атаку на российский ПИР Банк. Инцидент безопасности был зарегистрирован летом 2018 года. В тот раз киберпреступникам удалось получить около 58 млн. рублей. Осенью того же года лицензия у ПИР Банка была отозвана регулятором.

Название пострадавшего российского банка и общая сумма украденных средств в Group-IB решили не называть. По словам одного из источников, который близок к Банку России, киберпреступникам удалось похитить около 500 млн. рублей.

Другой источник, работающий на финрынке России, заявил, что пострадал «не очень крупный российский банк, который не входит в ТОП-100 финорганизаций страны».

Хакеры из MoneyTaker провели атаку в три этапа:

  1. Кибератака началась летом 2020 года, когда киберпреступники скомпрометировали аффилированную с банком организацию.
  2. После этого злоумышленники получили доступ во внутреннюю сеть финансовой организации. В течение 6 месяцев они изучали сеть.
  3. Завершающая стадия атаки стартовала в январе 2021 года. Хакерам удалось получить доступ к системе межбанковских переводов, выполняемых через АРМ КБР. Злоумышленники также украли цифровые ключи для подписания платежей, которые проходят через Банк России.

Об авторе Артем П

Представитель редакции CISOCLUB. Пишу новости, дайджесты, добавляю мероприятия и отчеты.
Читать все записи автора Артем П

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *