Хакеры могут удаленно подключаться к банкоматам и опустошать их по своей команде. Всего преступники получили доступ к 50 российским банкам, 16 ритейловым компаниям и пяти платежным системам. Большинство ритейловых компаний находятся в США, но при этом ни одного американского или европейского банка атаковано не было. Специалисты по кибербезопасности предрекают рост атак в 2015 году и рекомендуют банкам своевременно реагировать на любую подозрительную активность в своих сетях.
В основе группировки хакеров могут находится люди из ранее существующей команды Carberp, которая распространяла банковские "трояны". Хакеры действуют с помощью социальной инженерии, то есть подделывают официальные письма, заставляя обычных работников банков открывать приложенные к письмам файлы с вредоносным кодом.
Так, служащий одного из российских банков получил на корпоративную почту письмо якобы "от службы поддержки Центробанка". В нем был вложенный файл и приписка, что в соответствии с федеральным законом "О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма" всем сотрудникам кредитных и финансовых организаций необходимо ознакомиться с вложенным документом. Письмо не вызвало подозрений и сотрудник открыл вложенный файл. Спустя несколько недель со счета банка была списана крупная сумма, пишет Forbes со ссылкой на отчет Group-IB.
Несмотря на то, что группа атакует не клиентов банков, а сами кредитные учреждения, опустошение банкоматов бьет также по клиентам. Происходит это в два этапа: на первом злоумышленник удаленно берет контроль над банкоматом в момент максимальной загрузки, а на втором "человек с сумкой" просто максимально быстро собирает деньги, которые банкомат "сам" ему выдает.