Group-IB сообщила о хищении хакерами средств с корсчета банка в ЦБ впервые с 2018 года

Злоумышленники в феврале нынешнего года совершили успешную хакерскую атаку против одного из банков и похитили средства, получив доступ к  системе межбанковских переводов АРМ КБР (автоматизированное рабочее место клиента Банка России), сообщила компания по обеспечению кибербезопасности Group-IB. Аналитики связывают взлом с деятельностью группы MoneyTaker, причастной к прежним подобным атакам.

«Через компрометацию аффилированной с банком компании», после чего на протяжении полугода исследовали внутреннюю сеть банка. В 2021 году злоумышленники зарегистрировали подставные доменные имена, используя название банка и зоны .org и .com, а не .ru. После этого атакующие «похитили цифровые ключи и позже использовали их для подписания платежей, проходящих через транспортный шлюз Банка России», – говорится в отчете Group-IB, добавив, что атака началась еще в июне 2020 года.

По данным РБК, ссылающегося на источник близкий к ЦБ, хакеры смогли похитить более 500 млн рублей. Другой источник отмечает, что от действий злоумышленников пострадал банк не из первой сотни по объему активов; еще один источник отмечает, что речь идет о не очень крупном банке.

ЦБ известно о случившемся, по итогам его разбора до участников информационного обмена был доведен соответствующий информационный бюллетень департамента информационной безопасности, сказал представитель регулятора. Бюллетень был разослан в апреле 2021 года, уточняет издание со ссылкой на собственные данные.

Последний раз о хищениях из российских банков, совершенных подобным образом, сообщалось в 2018 году. Как ранее сообщал «Ъ», тогда с корсчета ПИР-банка в ЦБ было выведено более 58 млн руб. В том же году ЦБ отозвал лицензию у ПИР-банка по причине нарушений антиотмывочного законодательства.

Ранее Readovka сообщала, что ЦБ отозвал лицензию у «АСКО-Страхование».