Из-за вируса Cobalt Strike российские банки лишились 1,1 млрд рублей в 2017 году. При этом банки несут не только финансовые, но и репутационные потери. О серьезности проблемы говорит тот факт, что Центробанк даже намерен создать специальное подразделения по борьбе с кибератаками.

Как заявил заместитель руководителя ЦБ Дмитрий Скобелкин, кибермошенники с помощью вируса Cobalt Strike в 2017 году украли из кредитных учреждений нашей страны более 1,156 миллиарда рублей.

«Всего за 2017 год было зарегистрировано не менее 21 волны атак Cobalt Strike. Атакам подверглись более 240 кредитных организаций, из них успешных атак было 11», — рассказал топ-менеджер российского регулятора.

Как отметил Скобелкин, восемь из 11 пострадавших банков обмениваются информацией с Центром мониторинга и реагирования на компьютерные атаки в финансовой сфере (ФинЦЕРТ). Скобелкин подчеркнул, что ФинЦЕРТ разослал предупреждения 400 организациям с указанием адресов электронной почты, с которых рассылались письма хакеров.

Регулятор не огласил список подвергшихся атаке банков. Однако опрошенные «Газетой.Ru» банки отмечают, что такие случаи были.

«В 2017 году были зафиксированы незначительные попытки несанкционированного воздействия на информационные ресурсы РНКБ Банк (ПАО), в том числе и вирусные и спам-письма, которые вовремя блокировались», — рассказали «Газете.Ru» в РНКБ. Как заверяют в кредитном учреждении, у банка «есть успешный опыт отражения разноплановых кибератак». «РНКБ располагает всем необходимым оборудованием и технологиями для обеспечения информационной безопасности», - добавили в кредитном учреждении.

Долгое время Cobalt специализировалась на логических атаках на банкоматы, рассказал «Газете.Ru» Рустам Миркасымов, эксперт по Threat Intelligence (Киберразведке) Group-IB. «Злоумышленники проникали в сеть банка, получали над ней контроль, скомпрометировав учетную запись администратора домена, добирались до сервера управления банкоматами и выводили деньги», — говорит эксперт.

Помимо бесконтактных атак на банкоматы, Cobalt старается получить доступ к платежным шлюзам, карточному процессингу и системам межбанковских переводов (SWIFT).

«В конце 2017 года впервые в истории финансовой системы России была совершена успешная атака на банк с использованием системы межбанковских переводов (SWIFT)», — добавляет он.

При этом вирус Cobalt «нападает» не только на российские банки, но и на кредитные организации Великобритании, Нидерландов, Испании, Румынии и Белоруссии. Также в списки жертв атак попали Польша, Эстония, Болгария, Грузия, Молдавия, Малайзия и банки ряда других стран. «В 2016 году Cobalt вывела $2,2 млн из четырех десятков других банкоматов First Bank (Тайвань)», — рассказал «Газете.Ru» Рустам Миркасымов.

«Обычно Cobalt совершает две-три фишинговые рассылки каждый месяц. Атакуют не только банки, но их партнеров, подрядчиков: IT-компании, платежные сервисы, СМИ и страховые компании, чтобы уже с их скомпрометированных ящиков осуществлять рассылку с вредоносным вложением», — говорит эксперт.

По словам старшего директора группы по анализу финансовых организаций Fitch Ratings Александра Данилова, «один миллиард рублей не такая большая сумма на фоне прибыли банков». Согласно данным Центробанка, совокупная прибыль российского банковского сектора в 2017 года составила 790 млрд рублей.

Впрочем, хакерские атаки несут не только финансовый урон, но и приводят к репутационным потерям. По словам Данилова, зачастую банки идут навстречу клиентам и возвращают похищенные средства со счетов.

При этом российские банки, по всей видимости, не на шутку обеспокоены сложившейся ситуацией. Аппетиты злоумышленников растут — число попыток хищения увеличивается от месяца к месяцу, констатирует Александр Омельченко, начальник управления информационной безопасности Альфа-Банка.

Увеличение количества мошеннических действий в отношении клиентов банков он связывает в том числе и с ростом пользователей каналов дистанционного банковского обслуживания (ДБО).

«В части атак на физических лиц наблюдается всплеск популярности социальной инженерии, например, фишинг, вишинг, при которых целью злоумышленника является получение от жертвы конфиденциальных данных, необходимых для выполнения денежного перевода, а популярные в прошлом заражения Android-устройств клиента вредоносным программным обеспечением практически сошли на нет», — сказал Омельченко.

Злоумышленники, как правило, используют одну из двух схем, поясняет он. В одной из них злоумышленники с использованием вредоносного программного обеспечения подменяют получателя в момент направления клиентом платежа в банк. «Другая схема подразумевает кражу учетных данных клиента в систему ДБО с использованием клавиатурного шпиона и направление платежа злоумышленникам», — уточнил эксперт Альфа-Банка.

При этом в Центробанке намерены всерьез взяться за информационную безопасность. Как рассказал Скобелкин, Центробанк намерен создать департамент информационной безопасности, который «возьмет на себя функции отраслевого центра». Соответствующее решение уже принято, отметил он.