В начале июля СМИ писал о хакерской атаке на ПИР Банк, в ходе которой злоумышленники похитили по меньшей мере 58 млн рублей с корреспондентского счета в Центробанке РФ. Как выяснили исследователи кибербезопасности из компании Group-IB, данный инцидент был делом рук участников хакерской группировки MoneyTaker.
В ходе расследования инцидента специалисты обнаружили инструменты, ранее уже использовавшиеся MoneyTaker для проведения атак на банки и другие доказательства причастности именно этой группировки. По словам специалистов, атака на ПИР Банк началась в конце мая 2018 года. Предполагаемой точкой входа стал скомпрометированный маршрутизатор, находящийся в одном из территориальных подразделений банка. На маршрутизаторе были настроены туннели, позволяющие атакующим получить доступ к локальной сети кредитной организации.
"Проникнув в основную сеть банка, злоумышленники смогли получить доступ к АРМ КБР (автоматизированному рабочему месту клиента Банка России), сформировать платежные поручения и отправить несколькими траншами деньги "в рейс" на заранее подготовленные счета", - пояснили исследователи.
Для затруднения расследования инцидента злоумиышленники произвели очистку системных журналов операционной системы, журналов прикладных систем и удалили ряд системных файлов, однако киберэкспертам все же удалось пошагово восстановить действия и идентифицировать инструменты злоумышленников.
Русскоязычная хакерская группировка MoneyTaker действует в различных регионах мира и использует для атак общедоступные инструменты. Группа оставалась практически незамеченной до 2017 года. По словам специалистов, MoneyTaker провела 20 успешных атак на банки, адвокатские конторы, разработчиков программного обеспечения и другие организации в России, США и Великобритании.
