«Лаборатория Касперского» обнаружила новый зловред TwoBee, умеющий замещать платежные реквизиты подставными при обмене данными между бухгалтерскими и банковскими системами. Злоумышленники воспользовались тем, что файлы платежных поручений не были защищены шифрованием и по умолчанию имели стандартные имена.

Это не первая подобная кампания: несколько лет назад троянец Carberp также подменял платежные поручения. Но затем киберпреступники переключились на другие техники: заражение банкоматов, систем ДБО и платежных систем.

TwoBee устанавливается на компьютеры с помощью других программ, таких как BuhTrap. Также известны случаи установки данной программы через средства удаленного администрирования, например LiteManager.

Но преступники, стоящие за TwoBee, решили вернуться к полузабытой технике и смогли похитить более 200 млн рублей у российских организаций. 90% всех атак пришлось на предприятия малого и среднего бизнеса. Похищенные деньги выводятся на десятки подставных счетов. Более всего от атак пострадали организации Москвы (25%), за ними в списке целей преступников следуют Екатеринбург и Краснодар.

Техника, на которую полагается TwoBee, устарела благодаря массовому внедрению технологий шифрования, из-за которого подмена реквизитов в платежных поручениях практически невозможна. Если на предприятии при обмене финансовой информацией не используется шифрование, необходимо уделять особое внимание сверке номеров счетов при получении подтверждающего запроса от банка.

Помимо этого нужно своевременно обновлять ПО, использовать защитные программы и ограничивать доступ в сеть с устройств, на которых установлены системы ДБО или программы для ведения бухгалтерии.

Категории: Вредоносные программы, Мошенничество