Злоумышленники рассылали электронные письма от имени государственных ведомств на e-mail-адреса российских кредитных организаций. Сообщения обычно были подписаны как "Копии документов" или "Служебная записка", но в самом письме содержался архив с трояном RTM. Вирус создавал платежные поручения на сервисах дистанционного банковского обслуживания. Атака на один банк приносила мошенникам в среднем около 1 млн рублей.
Такие письма поступали в банки, а также промышленные и транспортные компании на протяжении последних четырех месяцев. Всего за это время хакеры отправили порядка 11 тысяч поддельных писем.
Мошенники предпочитали выдавать себя за региональные управления Минтруда, Роспотребнадзора, Россельхознадзора или ФСИН.
"Схема хищения простая: RTM скачивает и запускает средства удаленного управления компьютером, после чего создается платежное поручение и отправляется в систему ДБО либо через зараженный компьютер, либо с компьютера злоумышленника", — цитирует сообщение компании Group IB РБК.
По данным ЦБ на ноябрь, зараженные сообщения получали около 50 банков.
В "Лаборатории Касперского" утверждают, что атаку могла совершить группа хакеров The Silence, которая ранее организовывала нападения на банки в России, Украине, Беларуси, Азербайджане, Польше, Казахстане и Великобритании.
Недавно другая группировка хакеров - MoneyTaker - с поддельного адреса "ФинЦЕРТ" разослала письма с вирусными вложениями, замаскированными под соглашение о взаимодействии с ЦБ по вопросам мониторинга.
Отзыв о сайте