Хакерская группа Silence осуществила масштабные вредоносные рассылки по 80 000 адресам сотрудников российских кредитно-финансовых организаций, среди которых основную долю занимают банки и крупные платежные системы. Как сообщили Sk.ru в сколковской компании Group-IB, специализирующейся на предотвращении кибератак, это самая крупная подобная рассылка с начала года.
Массовая атака началась с фишинговых рассылок Silence 16 января. Впервые в практике Silence вредоносное вложение было замаскировано под приглашение на iFin-2019. Международный Форум iFin-2019 «Электронные финансовые услуги и технологии» действительно пройдет в Москве 19 и 20 февраля, о чем организаторы мероприятия сделали рассылку около 9 утра по Москве 16 января. Через несколько часов свое «приглашение» отправили Silence. Фальшивая рассылка велась от имени «Forum iFin-2019», но с адреса info@bankuco[.]com. Текстовые совпадения указывают на то, что в своем письме злоумышленники использовали официальный анонс-приглашение, но отредактировали его, указывают эксперты Group-IB, называющие Silence одной из самых опасных и слабоизученных хакерских русскоязычных групп.
Фото: Group-IB
«Вредоносная активность декабрьской и январской кампаний была зафиксирована Group-IB Threat Detection System в российских банках и была заблокирована, — комментирует Рустам Миркасымов, руководитель отдела динамического анализа вредоносного кода, эксперт по киберразведке Group-IB. — Об индикаторах атаки, а также способах защиты были оперативно оповещены все клиенты Group-IB. Очевидно, что масштаб действий Silence увеличивается: мы наблюдаем рост атак не только по России, но и активные действия в отношении европейских и ближневосточных финансовых компаний. Что примечательно, мы фиксируем изменения в работе группы, которые начали появляться спустя некоторое время после выпуска технического отчета Group-IB, описывающего тактику действий хакеров и детали атак. На данный момент Silence – одна из самых опасных русскоязычных групп, фактически стоящая в одном ряду с Cobalt и MoneyTaker».