Специалисты Group-IB представили отчет о деятельности группировки Buhtrap, которая не так давно поменяла «почерк» и теперь грабит российские и украинские банки, а не их клиентов.
Хакерам уже удалось похитить порядка 1,8 млрд рублей. Группа Buhtrap впервые попала на радары экспертов еще в 2014 году. В прошлом году компания ESET опубликовала отчет, в котором были подробно описаны методы работы злоумышленников.
Теперь специалисты Group-IB сообщают, что с тех пор группа успела сменить тактику, и похищает деньги у самих финансовых учреждений, а не у их клиентов. От скоординированных кибератак уже пострадали тринадцать банков. Группа Buhtrap начала атаковать финансовые учреждения в августе 2015 года. В отчете Group-IB как раз рассматривается период с августа 2015 года по февраль 2016 года.
Новая тактика злоумышленников не сильно отличается от старых методик, но теперь к ним добавились направленные фишинговые письма, которые хакеры рассылают персоналу банков. Интересно, что члены Buhtrap рассылают фальшивые сообщения, чаще всего притворяясь Центробанком РФ. Похоже, это настоящий тренд в среде киберкриминала.
Фишинговые послания содержат вредоносные документы Word, после открытия которых происходит скачивание собственной малвари Buhtrap. Разработка сочетает функции бэкдора, кейлоггера и спайвари: ворует данные из буфера обмена, позволяет следить за происходящим на экране жертвы, а также скачивать на зараженную машину дополнительную малварь.
Сообщается, что теперь злоумышленники также используют червя, который получил название BuhtrapWorm. Червь позволяет хакерам оставаться в корпоративной сети до тех пор, пока заражена хотя бы одна машина. Чтобы полостью очистить сеть от червя и закрыть злоумышленникам доступ, понадобится отключение всей сетевой инфраструктуры банка.
Также малварь группы ищет на зараженных машинах приложение Automated Working Station of the Central Bank Client (AWS CBC, или АРМ КБР — Автоматизированное рабочее место клиента Банка России). Именно заражая АРМ КБР, хакеры научились подделывать легальные платежные поручения, подставляя в них данные своих аккаунтов, вместо настоящих данных получателей. Таким образом группировке удалось похить уже 1,8 млрд рублей за неполный год «работы».
Эксперты Group-IB пишут, что минимальная сумма хищения составила 25 600 000 рублей, средняя — 143 000 000 рублей, а самый крупных куш хакеров на сегодня равен 600 000 000 рублей. И это статистика только по российским банкам, ущерб, причиненный украинским финансовым учреждениям, специалистам оценить не удалось.
Кроме того, сообщается, что в начале февраля 2016 года исходные коды собственной малвари Buhtrap были открыто опубликованы на неназванном андеграундном форуме. Опубликовавший исходники человек, писал, что ранее он возглавлял разработку вредоносного ПО, однако ему перестали платить, поэтому он решил выложить сорсы в общий доступ. Вероятно, теперь можно ожидать роста числа подобных атак, если хотя бы часть инструментов Buhtrap стала доступна широкой публике.
Главный антивирусный эксперт «Лаборатории Касперского» Александр Гостев поделился подробностями недавней атаки на российские банки, проведенной посредством адресной рассылки писем с вредоносным вложением. Примечательно, что эти поддельные сообщения были написаны от имени FinCERT, специализированного центра мониторинга и предупреждения компьютерных атак, созданного на базе Банка России около года назад. По свидетельству экспертов, этот «бренд» впервые используется злоумышленниками в качестве приманки.
