Скандально известная группировка Carbanak вернулась. Об этом рассказали на саммите аналитиков по безопасности специалисты "Лаборатории Касперского".

Киберпреступники, которые украли в прошлом году около миллиарда долларов из банков, залегли на дно после того, как их спугнули правоохранители. На полгода Carbanak прекратили все свои операции, и вот — они снова в деле, но цели уже другие.

"Остановить эту атаку на текущий момент невозможно. И полицейские, и правоохранители в рамках предупреждения преступности, совместно с нами сделали такие заявления по поводу Carbanak. В 2015 году эти атаки возобновились. Но уже с новыми целями — не с финансовыми институтами и банками, а сместились цели на бухгалтерию. Атаки на сторонние финансовые институты. Но вредоносные атаки и схема остались точно такими же", — рассказывает ведущий антивирусный эксперт "Лаборатории Касперского" Сергей Голованов.

Отличительной особенностью атак, за которыми стоят создатели Carbanak, является использование тактик и технологий, применяемых в профессиональных кампаниях кибершпионажа, которые спонсируются государствами.

Но хуже всего то, что у Carbanak появились подражатели! Они взяли на вооружение тактику Carbanak: очень долго готовились к нападения, изучали жертву, программное обеспечение, “поселялись”с вредоносным ПО в компьютерах и изучали график работы и поведение бухгалтеров, операторов транзакций и других финансовых специалистов. При этом у каждой группы были свои особенности. К примеру, Metel отличилась интересной схемой вывода денег из банка.

"В нескольких городах России несколько людей, обладая специальной карточкой ходили от банкомата к банкомату, из одного отделения банка в другое отделение банка и снимали деньги — максимальная сумма выдачи 200 тысяч рублей. Каждый раз после снятия суммы, баланс на этой карте восстанавливался. Таким образом они украли много-много миллионов рублей. Когда стали разбираться, что произошло, то выяснилось, что в банке, который выпустил такую карточку, находилась вредоносная программа. И эта вредоносная программа смогла захватить компьютер, который принадлежит оператору, который имеет связь с процессингом и от имени этого оператора производилась отмена транзакции после того, как деньги выдавались из банкомата", — рассказывает Сергей Голованов.

А вот кибергруппировка GCMan отличилась тем, что вообще не использовала никакого вредоносного ПО, полагаясь лишь на легальные технологии и инструменты тестирования системы на проникновение. Из-за этого обнаружить их было еще труднее. В одной из операций, к примеру, они находились в зараженной системе полтора года, прежде чем начать красть деньги. Когда дело доходит до вывода денег, действуют они крайне быстро. Каждую минуту группировка GCMan способна переводить до 15 тысяч рублей — лимит для анонимных платежей в России.

"Сейчас все развивается по спирали. Сначала атаковали физические лица, потом юридические, потом банки и это движется по кругу. И если в прошлом году мы говорили, что Carbanak — это такой пласт огромный, от которого пострадало огромного количество жертв по всему миру. А сейчас у него появляются последователи. Опять же из тех 29 выездов, которые мы сделали в 2015 году — это топ-три истории, которые мы видели. Три группы. И причин сомневаться в том, что это остановится и прекратится, вообще нет. С чего бы это?", — говорит Сергей Голованов.

На форуме по безопасности "Инфофорум-2016" член комитета Госдумы по безопасности Илья Костунов со ссылкой на данные Центробанка подчеркнул, что действия киберпреступников нанесли ущерб пользователям и компаниям на сумму от 500 миллионов до трех миллиардов рублей.