Хакерам впервые за три года удалось вывести деньги с корсчета банка в ЦБ

Злоумышленникам удалось подделать часть файлов, когда банк отправлял платежи в Банк России

Хакерам впервые за три года удалось вывести деньги одного из российских банков через атаку на автоматизированное рабочее место клиента Банка России (АРМ КБР). Злоумышленникам удалось подделать часть файлов, когда банк отправлял платежи в ЦБ, в результате средства с корсчета банка осели на счетах мошенников. Об этом говорится в отчете компании Group-IB об угрозах безопасности финансового сектора «Большой куш: угрозы для финансовых организаций», пишет газета «Ведомости».

Название банка и сумма похищенного не сообщаются. Эксперты говорят, что «это была крупнейшая сумма за последние годы, выведенная таким путем». С помощью АРМ проводятся межбанковские денежные переводы с корреспондентского счета, открытого в ЦБ. В Group-IB считают, что за атакой стояла русскоязычная хакерская группировка MoneyTaker, участников которой раскрыть не удалось.

Саму атаку хакеры начали в июне 2020 года, смогли получить доступ к системе межбанковских переводов АРМ КБР и в январе 2021 перешли к финальной фазе: зарегистрировали доменные имена, схожие с названием банка, в феврале похитили цифровые ключи, а позже использовали их для подписания платежей, проходящих через Банк России. Далее хакеры вручную скопировали поддельные подписанные платежи в специальную папку в системе АРМ КБР и удалили в итоге почти все следы своего присутствия.