«В феврале 2021 специалисты лаборатории компьютерной криминалистики Group-IB были привлечены к реагированию на инцидент в одном из российских банков, в ходе которого атакующие смогли получить доступ к системе межбанковских переводов АРМ КБР», — говорится в отчете.

По мнению экспертов компании, за атакой может стоять группа MoneyTaker. Уточняется, что данная группа в 2016-2019 годах совершала атаки АРМ КБР и системы карточного процессинга в Великобритании, Гонконге, США, Украине и России. «После более чем годового затишья MoneyTaker вновь начали атаковать финансовые организации», — добавили в компании.

Согласно данным отчета, атака началась в июне прошлого года через компрометацию аффилированной с банком компании. В течение месяца атакующие получили доступ к сети банка, а в последующие полгода они исследовали сеть.

В январе текущего года мошенники зарегистрировали поддельные доменные имена, схожие с названием банка. В феврале они похитили цифровые ключи и позже использовали их для подписания платежей, проходящих через транспортный шлюз Банка России.

Сумма похищенных средств в отчете не уточняется. По данным РБК, хакеры таким образом смогли украсть более полумиллиарда рублей.