Инцидент в банке: расследование Positive Technologies

Компания Positive Technologies представила отчет о расследовании одного из инцидентов в банковской сфере, в ходе которого за одну ночь из шести банкоматов финансовой организации были похищены несколько миллионов рублей (эквивалент в местной валюте). Избежать более крупных потерь банку помогла случайность: инструменты для атаки конфликтовали с ПО банкоматов компании NCR, из-за чего злоумышленникам не удалось полностью реализовать свои планы вывода денег .

Результаты расследования, проведенного экспертами Positive Technologies, позволяют выделить несколько нюансов, характерных для современных кибератак на финансовые организации. В целом, отмечают в компании, атаки на клиентов банка отходят на второй план, уступая дорогу атакам на сетевую инфраструктуру банков.

Злоумышленники все чаще используют известные инструменты и встроенную функциональность ОС. В данном случае использовалось коммерческое ПО Cobalt Strike, включающее многофункциональный троянец Beacon класса RAT (Remote Access Trojan), с широкими возможностями удаленного управления системами. Также были использованы программа Ammyy Admin, приложения Mimikatz, PsExec, SoftPerfect Network Scanner и Team Viewer.

Использование фишинговых рассылок остается одним из успешных векторов атаки, и причина этого – недостаточная осведомленность работников в вопросах ИБ. Заражение инфраструктуры банка было построено на запуске файла documents.exe из RAR-архива, присланного по электронной почте одному из сотрудников и содержащего вредоносное ПО. Целенаправленная рассылка электронных писем, имитировавших финансовую корреспонденцию и сообщения от службы ИБ, велась на протяжении месяца. Файл из фишинговых писем в разное время запускали сразу несколько сотрудников, а заражение произошло из-за отключенного (или использовавшего устаревшие базы) антивируса на рабочей станции одного из них.

Таргетированные атаки становятся все более организованными и распределенными во времени. Расследование показало, что старт атаки пришелся на первую неделю августа. В начале сентября (после закрепления в инфраструктуре) начались атаки с целью выявления рабочих станций сотрудников, ответственных за работу банкоматов и использование платежных карт. И только в первых числах октября злоумышленники загрузили вредоносное ПО на банкоматы и провели кражу денежных средств: оператор отправлял команду на банкоматы, а подставные лица в условленный момент забирали деньги.

Множество собранных в ходе расследования инцидента хостовых и сетевых индикаторов компрометации были направлены в FinCERT Банка России с целью распространения данной информации среди финансовых организаций и предотвращения подобных атак в будущем.