В понедельник ЦБ предупредил рынок о взломе хакерами банка «Юнистрим», который обернулся фишинговой рассылкой с вредоносом с легального адреса банка другим кредитным организациям. Банки и платежные системы получили информацию от ФинЦЕРТ (подразделение ЦБ по кибебезопасности). Хакеры выводили средства в систему денежных переводов «Юнистрим», просто подменяя получателя средств, размер ущерба оценивается как существенный, но не раскрывается. Примечательно, что это уже вторая такая атака на банк «Юнистрим», но в первый раз кредитная организация, по информации “Ъ”, решила отказаться от помощи ФинЦЕРТ, пообещав справиться своими силами. 

19 ноября ФинЦЕРТ предупредил кредитные организации о рассылке фишинговых писем с вложением вредоносного программного обеспечения от имени банка «Юнистрим», рассказали “Ъ” участники рынка. По их словам, ФинЦЕРТ подчеркнул, что адрес отправителя вредоносов m.tsutskin@unistream.com является легальным почтовым адресом банка. Письма по кредитным организациям рассылались с заголовком «Попытки хищений». Регулятор настоятельно рекомендует банкам удалять всю входящую корреспонденцию от кредитной организации, обновить антивирусные базы, контролировать соединения с приведенными в рассылке IP-адресами и т. д.

Как сообщили “Ъ” в «Лаборатории Касперского», в рассылке содержался файл *.scr, который после загрузки обращается в интернет для последующего скачивания еще одного вредоноса. Собеседник “Ъ”, знакомый с ситуацией, отметил, что в данном случае имела место не мимикрия под действующую организацию, а реальный взлом банка, причем уже второй раз в этом году. Источники “Ъ”, близкие к банку, рассказали, что в начале октября хакерам, предположительно из группировки «Кобальт», удалось вывести средства из банка через платежные системы. Заражение банка было произведено через сделанную от имени крупного банка фишинговую рассылку, с помощью которой хакерам удалось похитить средства (сумма неизвестна).

Повторное заражение банка побудило ФинЦЕРТ предупредить об атаках не только банки, но и платежные системы, через которые при данном типе атак выводятся деньги. Дело в том, что, взломав систему, хакеры просто подменяют данные получателя перевода и спокойно забирают средства. Такая схема — редкость. «Нам сообщили, что "Кобальт" занялся системами переводов по новой схеме,— рассказывает собеседник “Ъ” на платежном рынке.— Хакеры дважды взломали базу "Юнистрим", причем сделали следующее: прямо в базе по реальным переводам меняли реальное ФИО на подставное и получали перевод на нужное лицо». Так как переводы крупные, то это более эффективно, чем с картами или платежами, подытожил собеседник “Ъ”. 

В самом банке подтвердили первый взлом (октябрьский). «Хакерские атаки иногда происходят, но каких-либо существенных потерь в результате их "Юнистрим" не понес,— сообщил “Ъ” предправления КБ "Юнистрим" Кирилл Пальчун.— Наличие атаки никто не отрицает, но это не значит, что она была успешной». Что же касается ноябрьской истории, то глава банка уверен — проникнуть в банк хакерам не удалось. «Была произведена попытка несанкционированного доступа к почтовому серверу, которая была своевременно предотвращена антифрод-системами банка. Информационные системы банка не пострадали, об указанном инциденте был уведомлен ЦБ, а также партнеры "Юнистрим", системы работают в штатном режиме. Эта рассылка могла вестись с любых адресов, не только наших»,— резюмировал он. 

Эксперты по информационной безопасности отмечают, что с большой долей вероятности вчерашняя рассылка с почты банка — это результат недостаточно качественного расследования предыдущего случая. «В случае инцидента банки в первую очередь ликвидируют последствия (восстанавливают работоспособность систем и пр.),— отметил директор экспертного центра безопасности Positive Technologies Алексей Новиков.— Полноценное же расследование с выявлением первоначального вектора проникновения, анализ всей инфраструктуры на предмет того, где еще мог закрепиться злоумышленник, проводится в разы реже». «В нашей практике были случаи, когда прямо во время проведения расследования по следам инцидента мы фиксировали повторную активность злоумышленников в инфраструктуре,— продолжил эксперт,— то есть киберпреступники заходили повторно». 

Как сообщил “Ъ” собеседник, знакомый с ситуацией в банке, после октябрьского инцидента банку поступали предложения от специализирующихся на информационной безопасности компаний и ФинЦЕРТ о проведении полноценного расследования и аудита состояния систем информационной безопасности банка, однако кредитная организация предпочла справиться своими силами. На вопрос о проведении аудита информбезопасности и расследовании предыдущего инцидента в банке ответили уклончиво. «Конечно, мы работаем с крупными компаниями по информбезопасности, постоянно совершенствуем IT-системы»,— отметил Кирилл Пальчун.

В то же время вчерашний случай несет колоссальные риски не только самому банку, но и другим участникам рынка. «Важно, что рассылка вредоноса шла с легитимного почтового ящика,— отмечает Алексей Новиков.— В каждом четвертом случае сотрудники банка открывают фишинговые письма, если они пришли от реальной компании-партнера. Если здесь рассылка была по контактам из адресной книги, к которой также мог быть получен доступ, успешность фишинговой рассылки составит практически до 100%». И сейчас, по словам эксперта, необходимо оперативное и полноценное расследование произошедшего инцидента, чтобы определить всю цепочку получателей таких писем и возможную зону поражения не только «Юнистрима», но и всех его партнеров.