Эксперты ИБ обнаружили в Интернете набор средств для проведения кибератак на банки. Архив включает открытый код трояна Buhtrap и справочные материалы.

Первые сообщения связали находку с группировкой Carbanak, также известной как Cobalt. В 2013–2014 годах она провела более 100 атак на финансовые учреждения в 30 странах и похитила более $1 млрд. Одноименный бэкдор и сегодня появляется в новостях.

Эксперты «Лаборатории Касперского», однако, установили истинное происхождение вредоноса — он оказался основан на трояне Buhtrap (другие названия — Karamanak, Ratopak, Pegasus). Эта программа позволяет красть деньги через программный клиент Банка России, которым пользуются сотрудники кредитных организаций (АРМ КБР).

По информации газеты «Коммерсантъ», архив сначала загрузили в даркнет, откуда он уже через несколько дней попал в общедоступную Сеть. Помимо самого ПО, комплект включает подробные инструкции по его применению, базу с телефонами ответственных за ИБ банковских сотрудников и дампы служб каталогов.

Специалисты установили, что все материалы устарели и относятся к 2015–2016 годам. Так, в Сбербанке в ответ на запрос журналистов сообщили, что упомянутые в базе сотрудники уже покинули компанию. В то же время при наличии определенных навыков взломщику будет несложно доработать ПО и запустить вредоносную кампанию, а данные о внутренней структуре организации, пусть и неактуальные, могут упростить фишинговые атаки.

Представители Банка России сообщили СМИ, что знают о новой угрозе и уже приняли меры. Участники рынка получили предупреждение на следующий день после того, как эксперты определили происхождение вредоносного ПО.

По мнению экспертов «Лаборатории Касперского», публикация кода может спровоцировать новые атаки, несмотря на морально устаревший инструментарий. Так произошло с трояном Zeus, который стал достоянием общественности в 2011 году, позволив преступникам создать на его основе опасные гибриды.

Эксперты отмечают, что анализ внутренней структуры такого мощного трояна как Buhtrap поможет ИБ-службам понять логику взломщиков и эффективнее защититься от атак. Другая хорошая новость в том, что специалистам известны все эксплойты, которые упоминаются в обнаруженном руководстве. Если организация поддерживает защитные системы в актуальном состоянии, преступники не смогут использовать этот зловред для успешной атаки.

В июне этого года Ассоциация банков России запустила платформу для обмена информацией об угрозах ИБ. Уже на первом этапе она объединит несколько десятков финансовых организаций, которые смогут совместно бороться с кибератаками. Ожидается, что в дальнейшем к процессам подключатся и правоохранительные органы.

Категории: Вредоносные программы, Главное