Обнал сервис Взлом почты, ок, вк на заказ essenin essenin MrLoot BitMix TMT Помощь в получении кредита atmservice Пробив fenix
elitevps
probiv
Пробив сервис от НЕ болтай

СМИ Группировка Silence атакует банки Африки

GLOV

Ветеран
Продавец

GLOV

Ветеран
Продавец
Status
Offline
Регистрация
22 Июн 2018
Сообщения
856
Реакции
5
Профиль на DS
Перейти
Покупки через Гарант
0
Продажи через Гарант
0
Эксперты «Лаборатории Касперского» зафиксировали волну целевых атак на крупные банки нескольких стран Тропической Африки.

С первых дней января исследователи наблюдают тысячи попыток запуска малвари, в том числе модуля, который делает снимки экранов зараженных компьютеров. Используемые инструменты позволяют предположить, что за атакой стоит русскоговорящая группа Silence.


Хак-группа Silence очень активны с конца 2017 года, в основном их жертвы – финансовые организации по всему миру. Типичный сценарий атаки начинается с рассылки фишинговых писем с вредоносными вложениями. Часто злоумышленники используют инфраструктуру уже зараженных организаций и отправляют сообщения от имени настоящих сотрудников. Если получатель откроет вложение, его компьютер подвергается попытке заражения сразу несколькими модулями трояна, конечная цель которых — собрать информацию об устройстве и отправить ее управляющему серверу. Один из основных модулей делает снимки экрана зараженного компьютера.

Атакующие также используют легитимные администраторские инструменты, чтобы долго оставаться незамеченными. Проникнув в корпоративную сеть, злоумышленники изучают инфраструктуру и внутренние процессы, после этого крадут деньги, например, через банкоматы. В среднем злоумышленники пытаются вывести около миллиона долларов из каждой организации.

На основе данных об активности Silence в нескольких странах Африки, зафиксированной «Лабораторией Касперского», можно предположить, что злоумышленники уже проникли во внутреннюю сеть организаций и сейчас атаки находятся на финальных стадиях.

«С первых дней 2020 года решения “Лаборатории Касперского” ежедневно фиксируют тысячи нотификаций об атаках на инфраструктуру банков в Африке. Ранее злоумышленники концентрировались на организациях Восточной Европы, Азиатско-Тихоокеанского региона и Латинской Америке, с конца 2019 фокус их внимания сместился, что говорит о стремительном расширении географии атак, – говорит Сергей Голованов, ведущий антивирусный эксперт «Лаборатории Касперского». – В основном цель Silence – кража денег, однако в ходе атаки они получают доступ также к большому объему конфиденциальных данных, которые могут использовать в дальнейшем, поэтому мы настоятельно рекомендуем банкам принять все необходимые меры кибербезопасности».
В свою очередь, специалисты Group-IB пишут, что еще летом 2019 года специалисты компании зафиксировали атаки на банки Чили, Коста-Рики, Ганы, Болгарии и Бангладеш. Все банки были оперативно уведомлены, но в нескольких случаях жертвы не сумели адекватно отреагировать на угрозу. Именно это и произошло с Dutch-Bangla — банком из Бангладеш.

После нескольких краж все же удалось задержать шестерых граждан Украины, нанятых группой Silence для вывода денег. Изучив атаки, специалисты пришли к выводу, что для них использовался новый уникальный инструмент, получивший название EDA и банкоматный троян xfs-disp.exe, ранее использованный Silence при атаке на Омский ИТ банк. А первичное заражение осуществляется при помощи инструмента ServHelper backdoor. По некоторым данным, первичные атаки осуществлялись другой хакерской группой TA505, которые затем перепродали доступ в интересующие банки хакерам Silence. Но подтвердить причастность к атакам ТА505 на данный момент не представляется возможным.

«В ноябре 2019 года система Threat Intelligence Group-IB зафиксировала активность хакерской группы Silence в Сенегале (Африка), где использовались те же самые инструменты, а также новая версия трояна собственной разработки — XDA. Все взаимодействие между бэкендом и скомпрометированной инфраструктурой должно осуществляться посредством DNS-запросов, — рассказал Рустам Миркасымов, руководитель отдела динамического анализа вредоносного кода Group-IB.— В то же время и ТА505 весьма активно проводит атаки на африканские банки и фин учреждения с конца 2018 года, а их активность в регионе в конце 2019 достигла пика. Все это говорит о том, что Silence будет наращивать свое присутствие в регионе».
 
Сверху