Ущерб от атак группировки Silence составил 300 млн. руб
21/08/19
Эксперты из компании Group-IB опубликовали технический отчет о преступной деятельности русскоязычной кибергруппировки Silence. По результатам исследования, Silence в период с июня 2016 года по июнь 2019 года похитила более 272 млн рублей.
Исследователи следят за активностью Silence еще с 2016 года, и в 2019 году география атак кибергруппировки стала самой обширной за все время преступной деятельности. Последствия атак затронули не только Россию, но также 30 стран Европы, Азии и СНГ. В июне нынешнего года злоумышленники атаковали российские банки, а в июле заразили системы банков в Чили, Болгарии и Гане.
Злоумышленники начали использовать новый метод для проведения более успешных атак. Сперва преступники рассылают по огромной базе адресов (до 85 тыс.) письма-пустышки без вредоносной нагрузки, что позволяет обновить базу актуальных целей, расширить географию атак и понять, какие системы кибербезопасности используются в банках. После тестовой рассылки в ход идут письма с вредоносным вложением.
Несмотря на принятые меры разработчиков программ для кибербезопасности, группировка продолжила атаки, модифицировав инструменты и создав новые. Применяемый на первом этапе кампании первичный загрузчик Silence.Downloader (или TrueBot) был кардинально переписан. В рамках атак 2019 года использовался инструмент, догружаемый основным трояном Silence.Main и основанный на публичных проектах для тестирований на проникновение Empire и dnscat2. Инструмент получил название EmpireDNSAgent (EDA). Также был обнаружен Ivoke-бэкдор — полностью бесфайловый троян. Он собирал данные о зараженной системе и загружал следующую стадию по команде от управляющего сервера. Кроме того, к инструментам группы добавлен троян для атаки через банкоматы xfs-disp.exe.