«Лаборатория Касперского» раскрыла масштабную киберпреступную кампанию, в ходе которой злоумышленникам удалось украсть у российских организаций более 200 миллионов рублей.
Для хищения столь внушительной суммы преступникам не пришлось заражать банкоматы, системы банк-клиент или взламывать платёжные сервисы. Вместо этого организаторы атаки воспользовались новым трояном TwoBee, подменяющим реквизиты в платёжных поручениях. Такой подход нельзя назвать новым, однако он оказался весьма действенным.
Пример банковской выписки, которую редактировали злоумышленники
Цель атакующих — типовые текстовые файлы, используемые для обмена данными между бухгалтерскими и банковскими системами. По умолчанию для этих файлов заданы стандартные имена, что позволяет без проблем их найти. Более того, текстовый формат выгрузки данных несложен и не защищён, а поэтому редактирование не вызывает никаких трудностей.
Информация о денежных переводах попадает в указанные служебные файлы перед тем, как осуществляется транзакция. Это и позволяет злоумышленникам изменять получателя, указывая собственные реквизиты.
География атак TwoBee
Вредоносная программа TwoBee устанавливается на компьютеры с помощью других программ, таких как BuhTrap. Известны также случаи установки данного зловреда через средства удалённого администрирования.
Почти 90 % атак пришлось на компании среднего и малого бизнеса. Большинство пострадавших организаций (25 %) зафиксировано в Москве. Следом по числу заражений идут Екатеринбург и Краснодар.
Жертвы TwoBee
«Техника подмены реквизитов в платёжных поручениях в своё время сошла на нет благодаря массовому распространению технологий шифрования в большинстве финансовых систем. Вероятно, тот же способ будет эффективен и в борьбе с TwoBee», — говорят эксперты.
Источник:
