Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере (ФинЦЕРТ) предупредил российские банки о готовящейся атаке вирусом-троянцем intel security.exe, за фишинговой рассылкой которого стоит хакерская группировка Silence.
Silence использует инфраструктуру уже зараженных банков и отправляют сообщения от имени их настоящих сотрудников в другие кредитные организации
Специалисты проанализировали новую угрозу и пришли к выводу, что "почерк" указывает на хакерскую группу Silence, активность которой наблюдается с 2017 года, когда аналогичными вирусами были атакованы банки в России, Армении и Малайзии.
Тогда эксперты еще до отнесения вируса к группировке Silence классифицировали его и выпустили для российских банков руководство по противодействию.
Отметим, что до марта 2018 года основной угрозой российским банкам считалась группировка Cobalt, которая организовала в 2017 году массированную атаку: из 240 нападений на банки 11 увенчались успехом, что позволило злоумышленникам похитить более 1 млрд рублей. Вскоре лидер группировки был задержан, и атаки прекратились.
Атак вируса группировки Silence является более изощренной по сравнению с вредоносной программой, которую распространяли хакеры Cobalt. В частности, как отметил старший антивирусный аналитик "Лаборатории Касперского" Сергей Ложкин, новый вирус распространяется более избирательно и использует уже сформированную банком инфраструктуру, чтобы рассылать письма от имени самих сотрудников.
На данный момент ФинЦЕРТ продолжает углубленный технический анализ по ряду сложных компьютерных атак, имевших негативные последствия, при необходимости дополнительная информация будет доведена до участников информационного обмена.
У всех вредоносных программ, используемых для атак на банки, примерно одинаковые принципы работы, а у использующих их лиц примерно одинаковые цели, пояснили в регуляторе. Поэтому для принятия первоочередных мер по пресечению атаки важно не название группировки, а индикаторы компрометации конкретной атаки.