На этой неделе хакеры из группировки Silence провели первую в нынешнем году атаку на российские банки: финансовые организации получили фальшивые приглашения на форум iFin-2019, сообщила компания Group IB. Подобные письма, по оценкам экспертов, были доставлены десяткам тысяч адресатов, среди которых были и сотрудники банков.
Group-IB сообщила о масштабной вредоносной рассылке группы Silence в России. В текущем году это пока самая крупная атака: она затронула более 80 тыс. получателей, подсчитали эксперты. Среди адресатов были сотрудники российских кредитно-финансовых организаций, в основном банков и крупных платежных систем.
Атака началась 16 января с рассылок, в которых содержалось приглашение посетить в феврале международный форум iFin-2019 в Москве, отмечает Group-IB.
Письма разослали через несколько часов после того, как настоящие приглашения отправили организаторы мероприятия. В своей рассылке злоумышленники использовали официальное приглашение, отредактировав его. «Заполните анкету в приложенном архиве и перешлите нам. Вы получите два бесплатных пригласительных, и название вашего банка будет размещено на официальном портале форума»,— говорится в письме. К посланию был прикреплен ZIP-архив, внутри которого — приглашение на банковский форум и вредоносное вложение Silence.Downloader aka TrueBot, которое используют только хакеры Silence.
То, что хакеры использовали реальный анонс финансового форума, подтверждает версию, согласно которой участниками Silence являются люди, занимавшиеся или до сих пор занимающиеся легальной работой, в том числе тестами на проникновение в информационные системы в финансовом секторе, полагает Group-IB. С этим не согласен собеседник “Ъ” на рынке информационной безопасности: получить реальное письмо от организаторов вполне мог и человек со стороны разными способами, он не обязательно должен работать в финансовых организациях.
По словам председателя оргкомитета iFin-2019 Андрея Бурдинского, они направляют в банки только персональные приглашения на форум и только постоянным посетителям. «Текст фальшивого приглашения не похож на реальное приглашение, отправленное в банки в этот день. Скорее всего, текст взят злоумышленниками с веб-сайта форума или из одного из пресс-релизов»,— добавляет господин Бурдинский. По его словам, 16 января организаторы форума iFin-2019 получили два письма от представителей банков, которые сообщили о получении фишинговых писем, других жалоб от участников форума не поступало.
Silence стала известна в 2018 году, когда ее заподозрили в рассылке вредоносных писем от лица Центробанка России (ЦБ РФ). В сообщении, которые получили тогда российские банки с поддельного адреса ЦБ РФ, адресатам предлагали ознакомиться с новым постановлением регулятора. Получателями ноябрьской рассылки, по данным Group-IB, оказались как минимум 52 банка в России и пять банков за рубежом.
В период с 25 по 27 декабря Silence также рассылала письма по финансовым учреждениям от имени несуществующей фармкомпании, сотрудник которой обращался в банк с просьбой открыть корпоративный счет и зарплатный проект.
В январе Group-IB обнаружили еще две фишинговые рассылки от имени начальников отделов в несуществующих банках — Банк ICA и «Банкуралпром». Отправители обращались в банки с просьбой оперативно рассмотреть вопрос по открытию и обслуживанию корреспондентских счетов их организаций. Во вложении содержался архив с договором, при распаковке которого на компьютер пользователя загружалась вредоносная программа Silence.Downloader.
Аналитики называют Silence малочисленной и слабоизученной хакерской группой. «Масштаб действий Silence увеличивается: мы наблюдаем рост атак не только по России, но и активные действия в отношении европейских и ближневосточных финансовых компаний.
На данный момент Silence — одна из самых опасных русскоязычных групп, фактически стоящая в одном ряду с Cobalt и MoneyTaker»,— полагает эксперт по киберразведке Group-IB Рустам Миркасымов.
Маскировкой вредоносных программ под официальные письма часто занимаются и хакеры из прогосударственных группировок, отмечают аналитики. Например, хакеры направляют письма в военные ведомства, посольства, министерства и СМИ с приглашениями на конференции НАТО, ООН или ЕС. Внутри них скрыто программное обеспечение, цель которого — шпионить за получателем.