Впервые о Buhtrap услышали в 2014 году. В прошлом году компания ESET опубликовала отчет, в котором были подробно описаны методы работы злоумышленников.
В отчете Group-IB сообщается, что с тех пор группа успела сменить тактику, и похищает деньги у самих финансовых учреждений, а не у их клиентов. За последние полгода, с августа 2015 по февраль 2016 года, при помощи вируса Buhtrap хакеры совершили 13 успешных атак на российские банки,
Атаки хакеров заключаются в том, что используется рассылка писем якобы от имени Центрального Банка России. Фишинговые послания содержат вредоносный документ Word, после открытия которого автоматически скачивается программа. Данное ПО проверяет в истории браузеров ссылки, связанные с интернет-банком и банковским программным обеспечением. Если такие ссылки находились, то программа загружала из интернета вредоносное программное обеспечение (Buhtrap) и устанавливала его. При этом большинство антивирусных программ не определяет загрузчик как вредоносную программу, говорится в отчете Group-IB.
Кроме того, злоумышленники часто используют червя BuhtrapWorm, который позволяет оставаться в корпоративной сети до тех пор, пока заражена хотя бы одна машина. Чтобы полостью очистить сеть от червя и закрыть доступ, понадобится отключение всей сетевой инфраструктуры банка.
Также программа ищет на зараженных машинах приложение Automated Working Station of the Central Bank Client (AWS CBC, или АРМ КБР — Автоматизированное рабочее место клиента Банка России). Именно заражая АРМ КБР, хакеры научились подделывать легальные платежные поручения, подставляя в них данные своих аккаунтов, вместо настоящих данных получателей.
По словам директора по методологии и стандартизации Positive Technologies (компания занимается информационной безопасностью) Дмитрия Кузнецова, еще одна хакерская рассылка банкам была зафиксирована 14 марта. Хакеры зарегистрировали для отправки писем домен fincert.net, который ассоциируется у банкиров со структурным подразделением главного управления безопасности и защиты информации Банка России FinCERT, у которого нет своего сайта, передает РБК.
«Такая социальная инженерия — распространенная техника, которую хакеры используют, когда необходимо получить доступ к компьютерам определенной категории сотрудников организации», — говорит Кузнецов.
По данным экспертов Group-IB, минимальная сумма хищения составила 25 600 000 рублей, средняя — 143 000 000 рублей, а самым крупным хищением хакеров на сегодня стало 600 000 000 рублей. И это статистика только по российским банкам, ущерб, причиненный украинским финансовым учреждениям, специалистам оценить не удалось.
Руководитель отдела расследований и сервиса киберразведки Bot?Trek Intelligence Дмитрий Волков высказал свои предположения: «Для эффективной защиты нужно знать и понимать тактику действий атакующих. Anunak, Corkow, Buhtrap — это только три из пяти активных групп, атакующих банки России. Уже сейчас мы видим еще две группы, которые только готовятся к атакам на банки. Эволюция угроз для финансового сектора привела к необходимости адаптации своих стратегий защиты на основе данных разведки».
Стоит отметить, что в начале февраля 2016 года исходные коды собственной малвари Buhtrap были открыто опубликованы на неназванном андеграундном форуме. Человек, который опубликовал исходники , написал, что ранее он возглавлял разработку вредоносного ПО, однако ему перестали платить, поэтому он решил выложить сорсы в общий доступ. Вероятно, теперь можно ожидать роста числа подобных атак, если хотя бы часть инструментов Buhtrap стала доступна широкой публике.
