С октября 2015 года хакерам удалось похитить у российских банков около двух миллиардов долларов. Злоумышленники использовали рассылку поддельных писем якобы от имени влиятельных банковских компаний (в том числе ЦБ РФ) и заражали систему вирусом Buhtrap.
Buhtrap – это достаточно новая и мощная вирусная программа, нацеленная на получение доступа к автоматизированному рабочему месту клиента Банка России (АРМ КРБ) и последующему выводу денежных средств со счетов банка. Первые упоминания об этом вирусе появились в 2014 году, в августе 2015 взломщики использовали Buhtrap против рядовых клиентов российских банков, но уже в октябре прошлого года они переключились и на сами банки.
Первая рассылка зараженных писем зарегистрирована 22 октября 2015. В банки пришли информационные письма с адреса support@cbr.ru.com. В содержащемся в письме приложении MS Office был спрятан вредоносный код, который при открытии документа начинал самостоятельно скачивать из интернета и инсталлировать вирус Buhtrap, оставаясь при этом незамеченным антивирусной системой.
В дальнейшем хакеры осуществили еще примерно 12 подобных рассылок, используя для этого электронные адреса, очень похожие на контакты крупных банковских компаний. Кроме того, злоумышленники узнали о существовании сообщества «Антидроп», в котором банки делятся друг с другом данными о мошенниках, и разослали всем его членам письма от имени Газпромбанка. В данном случае специалисты по безопасности быстро поняли, что имеют дело с обманом, и приняли необходимые меры.
За полгода вирус Buhtrap помог хакерам украсть у российских банков более 1,8 миллиарда рублей. При этом сумма самого крупного хищения оставила 600 миллионов рублей. В большинстве случаев банкам удавалось своевременно заметить кражу и «по горячим следам» вернуть большую часть денег, однако в среднем около 150 миллионов рублей оставались ненайденными. Злоумышленники использовали сложную схему переброса денежных средств между счетами в разных банках.