Атака началась около полудня 15 марта. Неизвестные компьютерные мошенники проводили рассылку разрушительных заявлений на электронные почты служащих ряда русских банков, подписываясь именем Центра мониторинга и реагирования на компьютерные атаки при основном Банке РФ. Предупреждение о кибератаке разослали сами хакеры с сайта, дублирующего название структуры ЦБ, призванной предупреждать о схожих явлениях финансовые структуры.
Злоумышленники зарегистрировали доменное имя fincert.net, что позволило им посылать письма с адреса, схожего на настоящий адрес FinCert. В любом письме было обращение по фамилии, имени и отчеству к конкретному получателю. Были у них и данные закрытых информационных рассылок FinCERT.
«Злоумышленники рассылали письма не наугад, а использовали специальную базу, очевидно, составленную из материалов отраслевых конференций либо банковских служебных документов». В письме содержалась инструкция по запуску вложенного макроса, который требует ручной активации от пользователя. Вполне возможно, кто-то из служащих банка успели открыть письма, следовательно, злоумышленники смогли попасть в системы финансовых компаний. Этот макрос и являлся единственным вредным элементом на всех этапах атаки.
Оставить комментарий