Российский Центробанк сообщил, что проводит проверку после публикации в открытом доступе исходного кода вредоносного программного обеспечения, которая может спровоцировать новую волну кибератак на банки, передает Reuters.

Как поясняется, неизвестные опубликовали архив с файлами под названием Pegasus, в котором содержится исходный код трояна, на сайте pastebin.com, который позволяет любому человеку анонимно публиковать исходный код какого-либо программного обеспечения. Помимо исходного кода в архиве содержится информация о контактных данных и должностях сотрудников десятков российских банков, в том числе Сбербанка, Промсвязьбанка и Металлинвестбанка. В нескольких файлах также приводится описание того, как обходить банковскую систему по противодействию атакам и как устроена схема передачи платежей через автоматизированное рабочее место клиента Банка России.

«Банк России в курсе данной ситуации и проводит необходимые мероприятия», — сообщил ЦБ в ответ на просьбу о комментарии, не раскрыв деталей.

Источник в ЦБ сказал Reuters, что значительная часть информации в выложенном архиве устарела, однако подразделение FinCERT Банка России, которое занимается анализом кибератак и дает рекомендации другим финансовым учреждениям, проводит «точечную работу с теми банками, информация о которых есть в выложенном архиве».

Представитель Промсвязьбанка сообщила Reuters, что банк проводит проверку этой информации и «в достаточной степени защищен и работает в тесном контакте с ЦБ по повышению информационной безопасности». Сбербанк и Металлинвестбанк пока не ответили на просьбы о комментарии.

Греф связал атаку на ПИР Банк с хакерской группировкой Carbanak

Глава ПИР Банка заверила, что деньги клиентов не пострадали.

Публикация архива может облегчить для хакерских группировок подготовку к атакам на банки и заражение их систем и, как следствие, привести к новой волне кибератак, говорят эксперты.

«Архив содержит достаточно большой объем инструментов и инструкций по реализации атак, который достаточно легко может быть активирован и использован злоумышленниками. Сам факт публикации кода, действительно, делает его доступным для широкой группы разных хакерских группировок, что увеличивает вероятность атаки», — сказал директор центра мониторинга и реагирования на кибератаки Solar JSOC Владимир Дрюков.

«Лаборатория Касперского» сообщила, что знает об утечке исходного кода вредоносного софта, который известен под именами Pegasus, Ratopak или Karamanak. «Утечка исходного кода теоретически может облегчить злоумышленникам возможность заражать банки, однако кража денег все равно требует много планирования и усилий. Другими словами, мы вряд ли незамедлительно услышим о новых киберинцидентах, которые спровоцировала эта утечка», — говорится в комментарии компании.

По ее данным, «временные метки позволяют предположить, что код был создан в 2015—2016 годах. Вирусописатели определенно являются русскоговорящими, а их целью были финансовые организации в России».

В долгосрочной перспективе различные киберпреступники пользуются доступным исходным кодом и создают на его основе новые модификации вредоносного ПО, пояснила «Лаборатория Касперского».

В мае 2017 года более 500 тыс. компьютеров были заражены вирусом WannaCry, который зашифровывал на них данные и требовал выкуп в биткоинах за дешифровку. Президент Microsoft Брэд Смит в блоге компании утверждал, что WannaCry был создан на основе украденного кибероружия Агентства национальной безопасности США, данные о котором публиковала хакерская группировка Shadow Brokers в 2016 году, а затем Wikileaks.

В феврале 2016 года Symantec сообщала о масштабной фишинговой кампании с использованием вредоносного ПО Ratopak, которое после заражения компьютера проверяло языковые настройки и начинало работать, если пользователь установил русский или украинский языки. Троян позволял делать снимки рабочего стола, перехватывать нажатия клавиш и закачивать произвольные файлы. С декабря 2015 года по февраль 2016 года с помощью этого ПО были атакованы шесть российских банков, утверждала Symantec.

По данным FinCERT, в 2017 году на банки в России было совершено 11 успешных атак, в ходе которых было похищено 1,15 млрд рублей. Всего за прошлый год организация зафиксировала 240 попыток проведения кибератак.

В июне московский суд отправил за решетку шестерых хакеров, которые похитили около 12,5 млн рублей со счетов клиентов российских банков.