Первая массовая кибератака Silence на банки России

Массовая кибератака началась с фишинговых рассылок Silence 16 января.

Впервые в обиходе Silence вредоносное вложение было замаскировано под приглашение на банковский форум iFin-2019. При этом, Международный Форум iFin-2019 «Электронные финансовые услуги и технологии», действительно, пройдет в Москве 19 и 20 февраля, о чем организаторы мероприятия сделали рассылку около 9 утра по Москве 16 января. Через несколько часов свое «приглашение» отправили Silence. Фальшивая рассылка велась от имени «Forum iFin-2019», но с адреса info@bankuco[.]com. Данные из рассылки указывают на то, что хакеры использовали официальный анонс, в отредактированном формате.

Техника маскировки злоумышленниками вредоносных программ под официальные приглашения широко распространена у прогосударственных хакерских групп (APT): они направляют в ведомства, министерства, посольства и СМИ «приглашения» на конференции НАТО, ООН или ЕС, внутри которых скрыты вредоносные программы, цель которых шпионить за получателем.

В течение января Silence провела еще две фишинговые рассылки, которые также были направлены на российские банки. По данным экспертов из Group IB: злоумышленники отправляли письма якобы от имени начальников отделов межбанковских операций несуществующих банков, таких как: ЗАО «Банк ICA» или ЗАО «Банкуралпром». Они обращались в банки с просьбой оперативно рассмотреть вопрос по открытию и/или обслуживанию корреспондентских счетов их организаций. К письму был прикреплен архив с договором, при распаковке которого на компьютер жертвы загружалось вредоносное (Silence.Downloader).

По материалам Group IB.