Эксперты Group-IB сообщили о предотвращении угрозы счетам клиентов около 50 российских банков. Опасность возникла в результате атаки ботнета на персональные компьютеры, которые использовались для доступа к системам дистанционного обслуживания банков. Руководитель компании Илья Сачков рассказал, что в ходе атаки ПК пользователей были заражены троянскими программами, которые передавали владельцу ботнета данные о логинах и паролях для входа в банковские системы удаленного обслуживания. Group-IB перехватила управление к ботнету при проведении криминалистической экспертизы компьютера, участвовавшего в другом инциденте. Получив доступ к хакерской сети, у экспертов появилась возможность ознакомиться с похищенными клиентскими «ключами» для удаленной работы с банковским счетом. «Мы не знали, кто этот клиент, но знали его банк и хеш ключа. Банку этого достаточно, чтобы понять, кто из его клиентов в опасности», - пояснил Илья Сачков. Обезвреженный ботнет, по словам Сачкова, успел скомпрометировать около 150 идентификаторов «в среднем, 1-2 на банк». Максимальное количество «ключей», похищенных из одного банка составило 64. Таким образом, инцидент затронул клиентов примерно полусотни банков России, причем по некоторым из похищенных аккаунтов к моменту обнаружения ботнета уже были проведены транзакции. Тем не менее, по мнению специалистов Group-IB, ущерб, понесенный законными владельцами, скорее всего невысок, поскольку действия хакера — владельца ботнета были вовремя пресечены. Сведения о нем переданы в правоохранительные органы. Помимо милиционеров Group-IB решила известить об инциденте вовлеченные в него банки. Илья Сачков рассказывает, что его поразило отсутствие в крупных банках механизма по приему информации об угрозах безопасности. «Мы встретили полное непонимание и нежелание вникать в суть проблемы: сотрудники банков отказывались переключать телефон на заинтересованных лиц и порой играли в детективов, давая заведомо ложную информацию от имени компетентных сотрудников», - записал Сачков в своем блоге. Там же он упоминает, как в его компанию поступил звонок от имени руководителя службы безопасности одного из банков, который пригрозил «закрыть их бизнес за распространение ложной информации». Позже банк опроверг причастность своих сотрудников к этому звонку. По итогам своего обзвона сотрудники Group-IB составили перечень банков, которым не удалось передать информацию о взломах. В него вошли «Банк Москвы», «Дил-Банк», «Кредит-Москва», "Кузнецкий Банк", «Мастер-Банк», "Московский Нефтехимический банк", "Москоммерцбанк", "Мурманский Социальный Коммерческий банк", банк «Приморье», "Росэнергобанк", "Томскпромстройбанк", Уральский Банк Реконструкции и Развития, "ФорБанк", банк «Финам», "Хакасский Муниципальный банк", "Хлынов банк", "Челябинвестбанк", «Юниаструм» - всего 18 банков. «Финам» и «Банк Москвы» подтвердили, что попытка безопасников с ними связаться имела место, и действительно увенчалась успехом не с первой попытки. «Первоначально у Group-IB не получилось связаться с нашей службой информационной безопасности, однако, после публикации списка банков, в которых компания выявила скомпрометированные «ключи», наши сотрудники сами связались с представителями Group-IB», - рассказал председатель правления банка «Финам» Евгений Пикалов. По его словам, «присланный в банк логин к аккаунту дистанционного обслуживания действительно принадлежит нашему клиенту, который подтвердил сотруднику банка все операции по своему расчетному счету. Источник в «Банке Москвы» заметил, что деятельность по выявлению похищенных банковских аккаунтов может приносить банкам и их клиентам практическую пользу только в случае регулярной и систематической работы. По его мнению, в одноразовом исполнении она выглядит скорее как рекламная акция.
Источник