Спецпроекты

ПО Безопасность Бизнес ИТ в банках Маркет

Хакерская правка текстовых файлов лишила российские компании 200 млн

Ряд российских организаций лишились сотен миллионов рублей из-за зловреда, который редактировал текстовые файлы для обмена данными между бухгалтерскими и банковскими системами.

Старая тактика

«Лаборатория Касперского» обнаружила новый зловред TwoBee, с помощью которого злоумышленники редактировали текстовые файлы для обмена данными между бухгалтерскими и банковскими системами. В результате несколько российских организаций лишились около 200 млн руб.

Подмену реквизитов в платежных поручениях осуществлял ставший широко известным несколько лет назад банковский троянец Carberp. Однако сейчас эта техника используется довольно редко: в большей части финансовых систем сегодня используются технологии шифрования, исключающие возможность подмены реквизитов.

Тем не менее, как выяснилось, далеко не все организации используют шифрование. Файлы для обмена данными между бухгалтерскими и банковскими системами, которые атаковал TwoBee, не были зашифрованы, и более того, использовали стандартные имена. В результате они стали легкой добычей для злоумышленников.

Пострадал малый и средний бизнес

По данным «Лаборатории Касперского», почти 90% атак пришлось на компании среднего и малого бизнеса, остальные — на госпредприятия и образовательные учреждения. Большинство пострадавших организаций (25%) зафиксировано в Москве. Следом по числу заражений идут Екатеринбург и Краснодар. Единичные случаи заражения TwoBee отмечены в странах Азии (Индии, Казахстане, Китае). Зловред также интенсивно проявил себя в Германии и Франции.

«Лаборатория Касперского» обнаружила новый старый способ кражи денег

Что касается вектора заражения, то, как отметили эксперты «Касперского», TwoBee устанавливается на компьютеры с помощью других программ, в частности, BuhTrap и RAT-инструмента LiteManager.

Способы защиты

Эксперт «Лаборатории Касперского» Денис Легезо рекомендует использовать шифрование для защиты платежных поручений: это не позволит зловредам менять их содержание. По мнению представителя департамента безопасности Сбербанка Игоря Митюрина, необходимо обязательно сверять номер счета из подтверждающего запроса от банка с номером счета получателя, указанного в бухгалтерской системе, а также ограничить доступ в интернет с тех устройств, на которых установлены системы дистанционного банковского обслуживания и бухгалтерские системы.

Представитель «» Алексей Харитонов, в свою очередь, указывает, что актуальные версии учетных программ его компании проверяют, не был ли файл обмена модифицирован зловредом после загрузки данных в программу банка (но до отправки платежей на исполнение). По мнению Харитонова, наиболее надежный вариант — использовать сервисы прямого обмена с банками, например, по технологии DirectBank

«Любое слабое место в безопасности будет рано или поздно использовано злоумышленниками, — комментирует Ксения Шилак, директор по продажам Sec Consult Rus. — Обмен данными, имеющими повышенную значимость, будь то персональная или платежная информация, следует осуществлять исключительно по защищенным каналам в шифрованном виде. Компенсация потерь от вредоносного ПО скорее всего обойдется во много раз дороже, чем внедрение технологий, страхующих от подобных инцидентов».

Роман Георгиев

Короткая ссылка