Специалистами Group-IB был обнародован отчет об активности кибергруппировки Buhtrap, которая занимается кражей денежных средств у банков России и Украины. В период с августа минувшего года по февраль нынешнего года хакеры похитили около 1,8 миллиарда рублей.
Эксперты впервые обратили внимание на хакерскую группу Buhtrap еще в 2014 году. Компания ESET в 2015 году обнародовала отчет, содержащий подробное описание методов работы киберпреступников. По словам специалистов Group-IB, с того времени тактика группы изменилась: хакеры похищают денежные средства у самих банков, а не у их клиентов. В результате действий киберпреступников пострадали 13 банков.
Хакеры из группы Buhtrap начали осуществлять кибернападения на банки в августе минувшего года. Теперь, наряду со старыми техниками проведения кибератак, хакеры рассылают сотрудникам банков фишинговые письма. Чаще всего участники Buhtrap осуществляют рассылку фальшивых сообщений от имени Центрального банка Российской Федерации.
В фишинговых письмах присутствуют документы Word, открытие которых запускает процесс загрузки вредоносного программного обеспечения Buhtrap. Программа может похищать информацию из буфера обмена, следить за тем, что происходит на экране зараженного компьютера, а также загружать дополнительное вредоносное программное обеспечение.
Теперь хакеры также пользуются программой, получившей название BuhtrapWorm. Она предоставляет злоумышленникам доступ к корпоративной сети, пока заражен хотя бы один компьютер, подключенный к ней. Для полной очистки сети от вредоносной программы и закрытия доступа для злоумышленников необходимо отключить всю сетевую инфраструктуру банка.
Также вредоносная программа Buhtrap осуществляет на инфицированных компьютерах поиск приложения Automated Working Station of the Central Bank Client (AWS CBC). Благодаря зараженному AWS CBC хакеры могут подделывать платежные поручения путем замены данных настоящих получателей на свою информацию. Менее чем за год киберпреступники, используя данную схему, похитили 1,8 миллиарда рублей.
Как сообщают специалисты Group-IB, в среднем за один раз хакеры похищали 143 миллиона рублей, а самая крупная сумма, украденная злоумышленниками, составляет 600 миллионов рублей. Приведенная выше статистика касается только российских банков. Эксперты не смогли оценить ущерб, нанесенный украинским кредитным организациям.
Исходные коды вредоносной программы Buhtrap в начале февраля текущего года были размещены в открытом доступе. По словам человека, опубликовавшего исходные коды, ранее он руководил разработкой вредоносного программного обеспечения, но ему перестали платить, поэтому он принял решение разместить результаты своей работы в открытом доступе.