- Статус
- Offline
- Регистрация
- 22 Июн 2018
- Сообщения
- 1,508
- Реакции
- 13
- Покупки через Гарант
- 0
- Продажи через Гарант
- 0
Эксперты «Лаборатории Касперского» зафиксировали волну целевых атак на крупные банки нескольких стран Тропической Африки.
С первых дней января исследователи наблюдают тысячи попыток запуска малвари, в том числе модуля, который делает снимки экранов зараженных компьютеров. Используемые инструменты позволяют предположить, что за атакой стоит русскоговорящая группа Silence.
Хак-группа Silence очень активны с конца 2017 года, в основном их жертвы – финансовые организации по всему миру. Типичный сценарий атаки начинается с рассылки фишинговых писем с вредоносными вложениями. Часто злоумышленники используют инфраструктуру уже зараженных организаций и отправляют сообщения от имени настоящих сотрудников. Если получатель откроет вложение, его компьютер подвергается попытке заражения сразу несколькими модулями трояна, конечная цель которых — собрать информацию об устройстве и отправить ее управляющему серверу. Один из основных модулей делает снимки экрана зараженного компьютера.
Атакующие также используют легитимные администраторские инструменты, чтобы долго оставаться незамеченными. Проникнув в корпоративную сеть, злоумышленники изучают инфраструктуру и внутренние процессы, после этого крадут деньги, например, через банкоматы. В среднем злоумышленники пытаются вывести около миллиона долларов из каждой организации.
На основе данных об активности Silence в нескольких странах Африки, зафиксированной «Лабораторией Касперского», можно предположить, что злоумышленники уже проникли во внутреннюю сеть организаций и сейчас атаки находятся на финальных стадиях.
После нескольких краж все же удалось задержать шестерых граждан Украины, нанятых группой Silence для вывода денег. Изучив атаки, специалисты пришли к выводу, что для них использовался новый уникальный инструмент, получивший название EDA и банкоматный троян xfs-disp.exe, ранее использованный Silence при атаке на Омский ИТ банк. А первичное заражение осуществляется при помощи инструмента ServHelper backdoor. По некоторым данным, первичные атаки осуществлялись другой хакерской группой TA505, которые затем перепродали доступ в интересующие банки хакерам Silence. Но подтвердить причастность к атакам ТА505 на данный момент не представляется возможным.
С первых дней января исследователи наблюдают тысячи попыток запуска малвари, в том числе модуля, который делает снимки экранов зараженных компьютеров. Используемые инструменты позволяют предположить, что за атакой стоит русскоговорящая группа Silence.
Хак-группа Silence очень активны с конца 2017 года, в основном их жертвы – финансовые организации по всему миру. Типичный сценарий атаки начинается с рассылки фишинговых писем с вредоносными вложениями. Часто злоумышленники используют инфраструктуру уже зараженных организаций и отправляют сообщения от имени настоящих сотрудников. Если получатель откроет вложение, его компьютер подвергается попытке заражения сразу несколькими модулями трояна, конечная цель которых — собрать информацию об устройстве и отправить ее управляющему серверу. Один из основных модулей делает снимки экрана зараженного компьютера.
Атакующие также используют легитимные администраторские инструменты, чтобы долго оставаться незамеченными. Проникнув в корпоративную сеть, злоумышленники изучают инфраструктуру и внутренние процессы, после этого крадут деньги, например, через банкоматы. В среднем злоумышленники пытаются вывести около миллиона долларов из каждой организации.
На основе данных об активности Silence в нескольких странах Африки, зафиксированной «Лабораторией Касперского», можно предположить, что злоумышленники уже проникли во внутреннюю сеть организаций и сейчас атаки находятся на финальных стадиях.
В свою очередь, специалисты Group-IB пишут, что еще летом 2019 года специалисты компании зафиксировали атаки на банки Чили, Коста-Рики, Ганы, Болгарии и Бангладеш. Все банки были оперативно уведомлены, но в нескольких случаях жертвы не сумели адекватно отреагировать на угрозу. Именно это и произошло с Dutch-Bangla — банком из Бангладеш.
После нескольких краж все же удалось задержать шестерых граждан Украины, нанятых группой Silence для вывода денег. Изучив атаки, специалисты пришли к выводу, что для них использовался новый уникальный инструмент, получивший название EDA и банкоматный троян xfs-disp.exe, ранее использованный Silence при атаке на Омский ИТ банк. А первичное заражение осуществляется при помощи инструмента ServHelper backdoor. По некоторым данным, первичные атаки осуществлялись другой хакерской группой TA505, которые затем перепродали доступ в интересующие банки хакерам Silence. Но подтвердить причастность к атакам ТА505 на данный момент не представляется возможным.
