Банковская троянская программа Corkow стала причиной того, что 27 февраля 2015 г. в ходе валютных торгов на Московской бирже (МБ) в течение нескольких минут котировки резко менялись в большом диапазоне 55,36-66,33 руб. Об этом сообщил Дмитрий Волков руководитель отдела расследований и сервиса киберразведки Bot-Trek Intelligence, сооснователь Group-IB, которая занималась проверкой данного инцидента по заказу Энергобанка.

Энергобанк 11 марта 2015 г. заявил о том, что считает часть сделок по валютной паре доллар/рубль расчетами «сегодня» (USD/RUB_TOD) 27 февраля несанкционированной. Банк также обратился с соответствующими заявлениями и в правоохранительные органы. «В случае с Энергобанком злоумышленники с помощью вредоносного ПО получили доступ не к банковским системам, связанным с обслуживанием физических и юридических лиц, а к торговому терминалу для осуществления операций на бирже. Они начали продавать и покупать валюту за счет банка, достаточно крупные суммы. Сделали всего примерно семь заявок: пять — на покупку валюты на несколько сотен миллионов долларов, а остальные — на ее продажу на порядка сотни миллионов долларов. В итоге это привело к сильным колебаниям курса рубля в течение 14 минут, пока длилась атака», — сообщил Волков.

По его словам, даже если хакеры и заработали на данной атаке, то незначительную сумму. «Скорее, это была акция, подтверждающая их возможности», — пояснил представитель Group-IB. Волков отметил, что по команде злоумышленника программа могла предоставлять параллельный с оператором банка удаленный доступ к его системе. Он не стал комментировать, кто именно стоит за атакой, сославшись конфиденциальность этих данных в рамках проведения расследования. «Мы собрали необходимые доказательства и довели информацию до всех участников финансового рынка», — отметил Волков, добавив, что Энергобанк, по данным Group-IB, оказался не единственным российским банком, пострадавшим от действий трояна Corkow в 2015 г. Эксперт напомнил, что в 2011-2014 гг. с помощью этой троянской программы осуществлялись нападения в основном на юридические лица с целью хищения денежных средств с их счетов, а с 2015 г. хакеры переключились на банки.

В марте 2015 г. Московская биржа заявляла, что 27 февраля все сделки на валютном рынке проводились в полном соответствии с законодательством об организованных торгах и правилами торгов. Биржа также сообщала, что ее инфраструктура не была подвержена несанкционированному доступу. По данным ЦБ, колебания курса рубля 27 февраля 2015 г. явились следствием исполнения ряда рыночных заявок крупного объема, выставленных одной из кредитных организаций (Энергобанк — ред.ТАСС), что для данного участника торгов являлось нестандартным торговым поведением. Такие «нестандартные» заявки выставлялись кредитной организацией с торгового терминала, подключение которого к торговой системе биржи было осуществлено от ее имени без ошибок авторизации и нарушения прав доступа. 17 декабря 2015 г. ЦБ установил повышенный контроль в отношении операций и иных действий Энергобанка на организованных торгах.—