"Энергобанк", чьи сделки на бирже привели к аномальным скачкам курса доллара в феврале, действительно подвергся хакерской атаке, передают "Ведомости" со ссылкой на руководителя по развитию продуктов компании Group–IB Павла Крылова.
Сделки небольшого казанского "Энергобанка" привели к тому, что 27 февраля курс доллара на Московской бирже рухнул с 61 руб. почти до 55 руб., через несколько минут стоил больше 66 руб., а затем вернулся к 61 руб. Банк заявил, что подвергся хакерской атаке, правоохранительные органы в тот же день возбудили уголовное дело. "Энергобанк" оценил свои потери в 243 млн руб. и пытался вернуть деньги через суд у клиентов "Открытия", БКС и "Финама" – средства на их счетах заморожены.
В хакерскую атаку не поверили ни участники рынка, ни регулятор. Банкиры выдвигали версии от ошибки трейдера либо сбоя в торговой системе "Энергобанка" до вывода средств из банка.
Выступая на конференции АРБ "Россия", Крылов пояснил, что его компания, которая специализируется на предотвращении и исследовании киберпреступлений, участвовала в исследовании событий вокруг "Энергобанка" совместно с правоохранительными органами.
"Отдельно скажу про довольно успешную группировку Corkow... С помощью этого вредоноса был инцидент в "Энергобанке". Все детали согласовываются, но скоро будет полный отчет, мошенники начали потихоньку играть на бирже со стороны банка", — цитирует издание Крылова.
По данным компании ESET, банковский троян Corkow используется злоумышленниками для кражи данных онлайн-банкинга. Это вредоносное ПО находилось в активной эксплуатации начиная с 2011 г. и продемонстрировало непрерывную активность в прошлом году, заражая тысячи пользователей. Были обнаружены различные версии модулей Win32/Corkow, что также указывает на непрерывный цикл разработки этого инструмента.
Как и в случае с другими банковскими троянскими программами, Win32/Corkow состоит из основного модуля и нескольких плагинов, которые реализуют соответствующие возможности. В основное ядро вируса имплементируется код, который вызывает дополнительные подпрограммы, которые загружаются с управляющего сервера.
Вредоносный код Win32/Corkow содержит возможности, которые являются типичными для банковских троянских программ, в том числе кейлоггер, модуль снятия скриншотов и граббер данных веб-форм для кражи аутентификационных данных онлайн-банкинга.
Наибольшее количество заражений (73%) приходится на Россию, при этом Украина занимает второе место (13%), говорится в февральском исследовании ESET. Неудивительно, что эти страны пострадали больше других, так как сам Corkow имеет российское происхождение и содержит вредоносный модуль, нацеленный на компрометацию системы онлайн-банкинга iBank2, которая используется российскими банками и их клиентами для быстрого выполнения банковских операций.
Председатель правления "Энергобанка" Дмитрий Вагизов в интервью татарстанской газете "Бизнес Online" рассказал, что атака случилась во время обеденного перерыва в "Энергобанке". Трейдер банка увидел на экране монитора странные сделки по валютным торгам. После того как были совершены сделки на рынке, была запущена очистка жесткого диска компьютера.
По словам главы "Энергобанка", еще несколько месяцев назад в систему банка было внедрено вредоносное программное обеспечение. Вирус все это время собирал информацию о системе, мог смотреть данные о переписке сотрудников. Злоумышленники должны были хорошо изучить распорядок дня сотрудников банка. По его мнению, смысл атаки на "Энергобанк" был в том, чтобы захватить контроль над торговым терминалом и подать заявки на покупку и продажу валюты.
