IFin Media
АйФин Медиа

Компания «АйФин Медиа» занимается организацией ежегодных мероприятий для банковской сферы.

2019: Кибератака группы Silence на российские банки под видом приглашения на iFin

18 января 2019 года Group-IB сообщила о масштабной волне вредоносных рассылок группы Silence в России. С начала года это самая крупная атака, насчитывающая более 80 000 получателей — сотрудников российских кредитно-финансовых организаций, среди которых основную долю занимают банки и крупные платежные системы.

Массовая атака началась с фишинговых рассылок Silence 16 января. Вредоносное вложение было замаскировано под приглашение на iFin-2019. Интересно, что XIX Международный Форум iFin-2019 `Электронные финансовые услуги и технологии`, действительно, пройдет в Москве 19 и 20 февраля, о чем организаторы мероприятия сделали рассылку около 9 утра по Москве 16 января. Через несколько часов свое `приглашение` отправили Silence. Фальшивая рассылка велась от имени «Forum iFin-2019», но с адреса info@bankuco[.]com. Текстовые совпадения указывают на то, что в своем письме злоумышленники использовали официальный анонс-приглашение, но отредактировали его.

`Заполните анкету в приложенном архиве и перешлите нам. Вы получите два бесплатных пригласительных и название Вашего банка будет размещено на официальном портале форума`, — говорится в не слишком грамотном письме Silence. В аттаче к посланию был прикреплен ZIP-архив, внутри которого приглашение на банковский форум и вредоносное вложение Silence.Downloader aka TrueBot — инструмент, который используют только хакеры Silence.Александр Егоркин, Газпромбанк: Если мы немедленно проведем импортозамещение, бизнес-процессы встанут 8.5 т

Практика маскировки злоумышленниками вредоносных программ под официальные приглашения широко распространена у прогосударственных хакерских группировок (APT), которые специализируются на шпионаже: они направляют в военные ведомства, посольства, министерства и СМИ `приглашения` на конференции НАТО, ООН или ЕС, внутри которых скрыты вредоносные программы, цель которых шпионить за получателем.

В январской фишинговой рассылке был использован реальный анонс финансового форума, это еще раз подтверждает версию о том, что участниками Silence, одной из самых малочисленных и слабоизученных хакерских групп, являются люди, предположительно занимавшиеся или занимающиеся легальной работой, в том числе, пентестами и реверс-инжинирингом в финансовом секторе.

В пользу этой версии говорит и другой факт: в рамках январской кампании специалисты Group-IB обнаружили еще две фишинговые рассылки, нацеленные на российские банки, якобы от имени начальников отделов межбанковских операций несуществующих банков — ЗАО `Банк ICA` и ЗАО `Банкуралпром`. Отправители обращались в банки с просьбой оперативно рассмотреть вопрос по открытию и обслуживанию корреспондентских счетов их организаций. Во вложении содержался архив с договором, при распаковке которого на компьютер пользователя загружалась все та же вредоносная программа Silence.Downloader.

Как показал анализ текста письма, хакеры Silence не застрахованы от ошибок — в письме от имени ЗАО `Банкуралпром` в подписи значится другой несуществующий банк ЗАО `БанкЮКО`. Проверка по указанным адресам показала, что там расположен офис другой кредитно-финансовой организации и жилой дом.

Опыт Group-IB показывает, что киберпреступники активно атакуют финансовые организации в период с 25 декабря по 14 января. Накануне новогодних праздников на счетах банков, как правило, аккумулируется большое количество денежных средств; банковские работники уже не столь бдительны, многие из них, не исключая службу безопасности, уходят в отпуск. Этим пользуются злоумышленники.

В период с 25 по 27 декабря Group-IB зафиксировала вредоносные рассылки Silence по финансовым учреждениям. На этот раз применялась другая схема с использованием социальной инженерии. Преступники разослали письма якобы от реально существующей фармацевтической компании, сотрудник которой обращался в банк с просьбой открыть корпоративный счет и зарплатный проект. Хакеры Silence, представляясь «соучредителем» фармкомпании, детально описывали филиальную структуру, указывали количество сотрудников и `торопили` со сменой партнера по зарплатному проекту. Более того, в письмо якобы был вложен «дизайн-макет», чтоб сделать брендированные банковские карты для персонала…

Подобное `готовое` предложение от клиента — весьма `аппетитная наживка` для банка. Вероятность того, что банковские сотрудники, получившие подобное предложение, откроют аттач, высока. Однако в результате распаковки архива произойдет загрузка лоадера, а потом и основного модуля Silence на машину жертвы.

Вредоносная активность декабрьской и январской кампаний была зафиксирована Group-IB Threat Detection System в российских банках и была заблокирована. Об индикаторах атаки, а также способах защиты были оперативно оповещены все клиенты Group-IB. Очевидно, что масштаб действий Silence увеличивается: мы наблюдаем рост атак не только по России, но и активные действия в отношении европейских и ближневосточных финансовых компаний. Что примечательно, мы фиксируем изменения в работе группы, которые начали появляться спустя некоторданный моменое время после выпуска технического отчета Group-IB, описывающего тактику действий хакеров и детали атак. Рустам Миркасымов, руководитель отдела динамического анализа вредоносного кода, эксперт по киберразведке Group-IB

2014: Организован первый форум "Вся банковская автоматизация"

В 2014 году компания «АйФин Медиа» организовала первый Форум «Вся банковская автоматизация». Наряду с крупными зарубежными корпорациями (Oracle, Microsoft, SAP, MISYS) и отечественными компаниями (ЦФТ, "Диасофт", БИФИТ, iCAM, BSS, 1С), на выставке представлено оборудование и программное обеспечение более 70 фирм-разработчиков.

2011: Организация конференции "Мобильные финансы"

С 2011 года компания «АйФин Медиа» совместно с АРБ организует конференцию «Мобильные финансы» (MobiFinance), посвященную обзору текущего состояния и обсуждению перспектив развития рынка мобильных и бесконтактных платежей.

2001: Старт проведения форума iFin при поддержке Intel

С 2001 года проводится форум iFin «Электронные финансовые услуги и технологии» при поддержке Ассоциации российских банков (АРБ) и Национальной ассоциации участников фондового рынка (НАУФОР). Генеральным спонсором iFin на протяжении первых десяти лет выступала компания Intel.

См. также

• Организаторы конференций по темам ИТ и телекома в России