Компания Group-IB, специализирующаяся на расследовании и предотвращении киберпреступлений, представила отчет о деятельности малоизвестной русскоязычной группировке Silence, которой уже удалось похитить из российских банков 52 млн рублей и оставить следы своей деятельности более чем в 25 странах мира.
"После того, как активность хакеров Cobalt снизилась, одной из главных угроз для российских и международных банков стала группа Silence. До недавнего времени известная лишь специалистам по кибербезопасности, Silence является примером мобильной, малочисленной и молодой группы, которая очень быстро прогрессирует. Сумма хищений Silence меньше, чем за год выросла в 5 раз: с 7 млн рублей до 35 млн. рублей. Только по подтвержденным эпизодам общая сумма хищений вследствие атак Silence сегодня составляет 52 млн рублей", – говорится в сообщении Group-IB.
Впервые активность группы была зафиксирована специалистами Group-IB в 2016 году. Тогда злоумышленники попытались вывести деньги через российскую систему межбанковских переводов АРМ КБР, однако это хищение удалось предотвратить.
В 2017 году группа начала проводить атаки на банкоматы. В ходе первого подтвержденного экспертами инцидента хакерам всего за одну ночь удалось вывели из банкоматов 7 млн рублей. В 2018 году злоумышленники провели атаку через карточный процессинг используя посредника: промежуточным звеном в этой атаке была компания-партнер, через банкоматы которой за выходные Silence "заработали" 35 млн рублей. Кроме того, хакеры еще раз осуществили вывод средств через банкоматы, получив 10 млн рублей. По мнению экспертов, в реальности Silence осуществила в несколько раз больше успешных атак.
По мнению экспертов, костяк команды Silence состоит всего из двух человек – разработчика и оператора, а в пользу того, что они являются русскоговорящими, свидетельствует использование набранных в латинской раскладке команд на русском языке для бэкдора Silence, давшего название группе. Кроме того, хакеры пользуются услугами русскоязычных хостеров и в основном выбирают цели в России, Украине, Белоруссии, Азербайджане, Польше и Казахстане.
"Silence во многом переворачивает представление о киберпреступности: по характеру атак, инструментам, тактике и даже составу группы, очевидно, что за этими преступлениями стоят люди, в недавнем прошлом или настоящем занимающиеся легальной работой — пентестами и реверс-инжинирингом. Они тщательно изучают деятельность других киберпреступников, анализируют отчеты антивирусных и Threat Intelligence компаний, что не мешает им делать множество ошибок и учиться прямо по ходу атаки. Ряд инструментов Silence — легитимны, другие разработали они сами, взяв на вооружение опыт других групп. Изучая деятельность Silence, мы предположили, что вероятнее всего это пример того, как whitehat становятся blackhat. Интернет, в особенности, его андеграудная часть, открывают немало возможностей для таких метаморфоз, киберпреступником сегодня стать намного легче, чем 5-7 лет назад: можно арендовать серверы, модифицировать имеющиеся эксплойты, использовать легальные утилиты. Это значительно усложняет работу форензик-экспертов, но сильно упрощает возможность встать на путь хакера", - прокомментировал расследование сооснователь Group-IB Дмитрий Волков.