Silence накрыла африканские банки
С первых дней января специалисты "Лаборатории Касперского" наблюдают тысячи попыток запустить вредоносное ПО, в том числе модуль, который делает скриншоты экранов зараженных компьютеров. Инструменты, которые используют киберворы, позволяют предположить, что за атакой стоит русскоговорящая группа Silence. Как поясняет эксперт "Лаборатории Касперского" Сергей Голованов, африканские банки стали мишенью, так как на континенте не развита отрасль ИБ.
"С первых дней 2020 г. наши решения ежедневно блокируют сотни, а иногда и тысячи попыток атак на инфраструктуру банков в Африке. Ранее злоумышленники концентрировались на организациях Восточной Европы, Азиатско-Тихоокеанского региона и Латинской Америки, с конца 2019 г. фокус их внимания сместился, что говорит о стремительном расширении географии атак, - сказал специалист. - В основном цель Silence - кража денег, однако в ходе атаки они получают доступ также к большому объему конфиденциальных данных, которые могут использовать в дальнейшем".
Злоумышленники Silence активны с конца 2017 г. В основном их жертвы - финансовые организации по всему миру. Типичная атака начинается с рассылки фишинговых писем с вредоносными вложениями. Часто злоумышленники используют инфраструктуру зараженных организаций и отправляют сообщения от имени настоящих сотрудников.
Если получатель откроет вложение, его компьютер подвергается попытке заражения сразу несколькими модулями троянца. Их цель - собрать информацию об устройстве и отправить ее управляющему серверу. Хакеры используют легитимные администраторские инструменты, чтобы долго оставаться незамеченными.
Проникнув в корпоративную сеть, злоумышленники изучают инфраструктуру и внутренние процессы, после этого крадут деньги, например через банкоматы. В среднем киберворы пытаются вывести около $1 млн из каждой организации. Специалисты "Касперского" полагают, что злоумышленники уже проникли во внутреннюю сеть организаций и сейчас завершают атаки.
В ноябре 2019 г. Group-IB обнаружила следы атак Silence в Сенегале. До этого, летом прошлого года, специалисты компании зафиксировали атаки кибербанды на банки Чили, Коста-Рики, Ганы, Болгарии и Бангладеш. Несколько организаций тогда потеряли деньги. Например, это произошло с банком в Бангладеш Dutch-Bangla.
По данным Group-IB, тогда хакеры использовали новый инструмент, получивший название EDA, и банкоматный троян xfs-disp.exe. Ранее Silence использовала его при нападении на омский "ИТ банк".
Silence - одна из пяти хакерских групп, которые представляют реальную угрозу финансовому сектору (Cobalt, Silence, MoneyTaker - Россия, Lazarus - Северная Корея, SilentCards - новая группа из Кении). В России ущерб от целенаправленных атак на банки со стороны финансово мотивированных группировок за исследуемый период сократился почти в 14 раз. Специалисты Group-IB связывают это с тем, что финансово мотивированные хакерские группы переключили внимание с российских банков на иностранные.