Хакеры украли 0,5 млрд руб. с корсчета российского банка в ЦБ. Как сообщается в отчете компании Group-IB, инцидент произошел в феврале, но подготовка к атаке заняла больше полугода. Официально название банка и похищенную сумму не раскрывают. О том, что украдено 500 млн, говорят источники РБК.
Фото: Глеб Щелкунов, Коммерсантъ
Фото: Глеб Щелкунов, Коммерсантъ
Как писал “Ъ”, три года назад по такой же схеме атаковали ПИР-банк. Тогда злоумышленники вывели около 60 млн руб. О том, как работали хакеры, “Ъ FM” рассказал генеральный директор Group-IB Дмитрий Волков:
«Злоумышленники готовились достаточно долго: вся процедура заняла несколько месяцев. Сначала они получили доступ к одной организации, которая аффилирована с банком. Затем провели определенную разведку и поняли, что из сети этой компании можно добраться до инфраструктуры кредитной организации. Используя разные технические решения, они смогли перейти из одного сегмента сети в сегмент, связанный с банком. Там хакеры обнаружили рабочие места операторов, в чьи непосредственные обязанности входит работа с системой межбанковских переводов.
Далее, получив к ним доступ, некоторое время они наблюдали за тем, как ведется работа с этими приложениями, подготовили мошеннические счета, на которые предполагалось получить украденные деньги. В один прекрасный момент злоумышленники стали заменять легальные счета получателей мошенническими. Таким образом определенная сумма ушла на последние.
Именно этот инцидент мы связали с группой, которая называется MoneyTaker.
Она действует достаточно давно и ведет себя не очень активно, за участниками замечено буквально несколько попыток атак в год. Схема на самом деле не новая, 3-4 года назад она была гораздо более популярной. В последнее время ситуация резко изменилась, благодаря работе регулятора, правоохранительных органов, всей банковской отрасли. Одним из дополнительных факторов, влияющих на то, что сейчас хакеры этим не занимаются, стало нахождение более эффективного способа заработка.
Когда они раньше крали деньги у банков, к чему это приводило? Вывести средства из кредитной организации можно, но потом начинается очень важный второй этап, когда их необходимо отмыть и получить. Эти деньги чаще всего удавалось остановить на каком-то этапе и вернуть. Вроде как провели всю атаку успешно, но ничего не получили. При этом все заняло у них достаточно много времени, а еще привлекло внимание правоохранителей. Сейчас все опытные хакеры используют программы-шифровальщики для того, чтобы вымогать средства. В таком случае пострадавшие компании сами переводят деньги, что, соответственно, привлекает гораздо меньше внимания».
По данным РБК, в результате атаки пострадал небольшой банк, не из первой сотни. После похожего инцидента три года назад у ПИР-банка отозвали лицензию. А чем может обернуться новый инцидент? Руководитель блока инвестпродуктов «Открытие Брокер» Антон Шабанов говорит, что все зависит от размеров капитала организации:
«Сама лицензия может быть отозвана из-за того, что у банка в связи с крупной кражей начинаются какие-то финансовые проблемы, то есть не сходится баланс. Получается, что он не может выполнить свои обязательства. Это веское основание для ЦБ, чтобы отозвать лицензию.
Но если мы говорим об ответственности за то, что банк не смог себя защитить, именно за это лицензии точно не лишат. Прежде всего встает вопрос о размере учреждения. То есть, предположим, 500 млн руб. для лидеров банковского сектора — большая сумма. Это серьезная потеря, но кражу довольно легко можно пережить. Если организация топ-10 с конца, то это практически полностью обнулит ее капитал, и это как раз является основанием для отзыва лицензии».
Как писал “Ъ”, за год число атак на критически важные объекты выросло втрое. Речь идет в том числе о системах банков, госорганов, транспорта и связи. При этом самым строгим наказанием за такое нарушение в 2019-2020 годах стал штраф в 70 тыс. руб. и три года лишения свободы условно.