Злоумышленники в феврале 2021 года совершили хакерскую атаку против одного из банков и похитили средства, заполучив доступ к системе межбанковских переводов АРМ КБР (автоматизированное рабочее место клиента Банка России), сообщила компания по обеспечению кибербезопасности Group-IB. Аналитики связывают взлом с деятельностью группы MoneyTaker, причастной к прежним подобным атакам.
По данным из отчета Group-IB, атака началась в июне 2020 года «через компрометацию аффилированной с банком компании», после чего на протяжении полугода исследовали внутреннюю сеть банка. В 2021 году злоумышленники зарегистрировали подставные доменные имена, используя название банка и зоны .org и .com, а не .ru. После этого атакующие «похитили цифровые ключи и позже использовали их для подписания платежей, проходящих через транспортный шлюз Банка России».
Хакеры смогли украсть более 500 млн руб., сообщает РБК со ссылкой на источник, близкий к ЦБ. Другой источник отмечает, что от действий злоумышленников пострадал банк не из первой сотни по объему активов; еще один источник отмечает, что речь идет о не очень крупном банке.
ЦБ известно об инциденте, по итогам его разбора до участников информационного обмена был доведен соответствующий информационный бюллетень департамента информационной безопасности, сказал представитель регулятора. Бюллетень был разослан в апреле 2021 года, уточняет издание со ссылкой на собственные данные.
Последний раз о хищениях из российских банков, совершенных подобным образом, сообщалось в 2018 году. Как ранее сообщал «Ъ», тогда с корсчета ПИР-банка в ЦБ было выведено более 58 млн руб. В том же году ЦБ отозвал лицензию у ПИР-банка по причине нарушений антиотмывочного законодательства.
Подробнее об инциденте — в материале «Ъ» «ПИР для хакеров».