Злоумышленники взломали корсчет банка в Банке России, название банка и размер ущерба не разглашают, пишут "Ведомости" со ссылкой на компанию Group-IB.
Впервые за последние три года специалисты по кибербезопасности Group-IB выявили успешный взлом системы межбанковских переводов АРМ КБР (автоматизированное рабочее место клиента Банка России).
Мошенники смогли подделать часть файлов, когда неназванный банк отправлял платежи в ЦБ.
В итоге деньги с корсчета банка ушли на счета злоумышленников.
ЦБ подтвердил, что знает об атаке. Проведен разбор "полетов", до участников рынка доведен информационный бюллетень ФинЦЕРТ.
Group-IB заявила, что речь идет о "крупнейшей сумме за последние годы, выведенной таким путем".
Group-IB считает, что взлом осуществила русскоязычная хакерская группировка MoneyTaker.
Хакеры начали атаку в июне 2020 г., смогли получить доступ к АРМ КБР и в январе 2021 г. перешли к финальному этапу: зарегистрировали доменные имена, схожие с названием банка, похитили в феврале цифровые ключи, которые использовали для подписания платежей, проходящих через ЦБ.
Затем хакеры скопировали поддельные подписанные платежи, вывели деньги и удалили почти все следы своего присутствия.
