Стиль и оформление письма были практически идентичны официальным рассылкам ЦБ, подчеркивают в Group-IB. "Скорее всего, хакеры имели доступ к образцам подлинных сообщений. Напомним, что согласно данным отчета Group-IB, выпущенного в сентябре этого года, участниками Silence являются люди, предположительно занимавшиеся или занимающиеся легальной работой - пентестами и реверс-инжинирингом. Именно поэтому они хорошо знакомы с документооборотом в финансовом секторе и работой банковских систем", - говорится в отчете.

 

По данным Group-IB, вредоносную рассылку 15 ноября получили минимум 52 банка в России и не менее пяти банков за рубежом. Скорее всего, атакованных банков было больше ста, считают в компании. О пострадавших от действий хакеров не сообщается. Подобная атака фиксировалась также и 23 октября. По данным Group-IB, письма отправлялись с поддельного адреса ФинЦЕРТ (структурное подразделение Департамента информационной безопасности Банка России) группировкой MoneyTaker. Письма содержали пять вложений, также стилизованных под официальные документы ЦБ. Три файла из пяти являлись пустышками-приманками, а два других содержали загрузчик Meterpreter Stager, говорится в отчете Group-IB. Аналитики Group-IB считают, что образцы документов ЦБ хакеры получили из ранее скомпрометированных почтовых ящиков сотрудников российских банков.

О хакерской атаке на свои ресурсы 15 ноября сообщила Федеральная антимонопольная служба (ФАС). По заявлению ведомства, произошла массовая рассылка вируса, ворующего служебные логины и пароли. Параллельно шла атака на информационные ресурсы, возможно, с целью взлома, отмечали в ФАС.