ОБЗОР СМИ
Банки откроются по всему союзу
ЕАЭС объединяет мобильные приложения
Банк России стал координатором пилотного проекта открытых API для интеграции сервисов банков в рамках Евразийского экономического союза (ЕАЭС). Банкиры считают идею полезной, особенно если данные окажутся доступны конечным клиентам участников. Однако пока не спешат соглашаться на предложение ЦБ, поскольку экономическая выгода проекта неочевидна, а риски и расходы существенны.
О том, что Банк России совместно с центральными банками стран ЕАЭС (в него входят Армения, Белоруссия, Казахстан, Киргизия, Россия) проводит работу по подготовке пилотного проекта в сфере открытых API, рассказали “Ъ” банкиры, получившие предложение ЦБ. Всего, по информации “Ъ”, письмо регулятора получили около 20 кредитных организаций, которые должны дать ответ о готовности к участию до 23 августа. В предложении ЦБ отмечается, что своих представителей уже номинировали Киргизия (банк «Компаньон», Айыл-банк, БТА-банк, ФИНКА-банк) и Казахстан (банк «Центркредит»).
Application Programming Interface (API) — программный интерфейс приложения. Примером использования API можно считать мобильные банковские приложения, которые позволяют клиенту проверить баланс, провести платеж и совершить другие операции. По уровню доступа API можно поделить на закрытые (доступные внутри одной организации), ограниченно открытые (доступные по специальным соглашениям) и открытые (доступные всем). Открытые API обеспечивают эффект за счет интеграции и использования проверенных сервисов различных производителей.
«Для гармонизации подходов использования открытых API в странах ЕАЭС и изучения возможности унификации разрабатываемых стандартов планируется проведение соответствующего пилотного проекта с привлечением коммерческих банков»,— отметили в Банке России, но от дополнительных комментариев отказались. Однако по информации “Ъ”, ЦБ уже определился со сценариями проекта и довел его до потенциальных участников. «Планируется открыть информацию через API о банкоматах, отделениях, услугах для физических и юрлиц и их доступности для нерезидентов»,— рассказывает собеседник “Ъ”, знакомый со сценариями. При этом, по его словам, финансовые организации должны предоставить информацию в виде стандартных API, которые «могут использовать агрегаторы стран для организации сервиса для конечных пользователей».
В ВТБ, Райффайзенбанке, «Ак Барсе», «Русском стандарте», РНКО «Платежный центр» пока рассматривают предложение ЦБ. В Сбербанке отметили, что главное — это «обеспечение безопасности любой информации, которую нам доверяют клиенты, и защита их интересов». В банке готовы принимать решения только после изучения предложений «на соответствие этим критериям». По словам зампреда Совкомбанка Алексея Панферова, банк оценивает необходимые ресурсы для участия в проекте.
У предложения регулятора есть определенные плюсы, отмечают участники рынка. По словам Алексея Панферова, представленные сценарии позволят проработать базовые принципы предоставления информации: формат, состав сведений, вопросы информационной безопасности при взаимодействии владельца информации (банк) и потребителя (финтех-компании, рекламной площадки). «В перспективе развитие открытых API позволит физическим лицам получать финансовые услуги от банка любой страны ЕАЭС»,— говорит член совета директоров РНКО «Платежный центр» Александр Погудин. Единый для всех банков ЕАЭС стандарт позволит сделать агрегатор банкоматов либо финансовые маркетплейсы, считают в «Русском стандарте». По словам руководителя управления некредитных продуктов Райффайзенбанка Максима Степочкина, использование открытых интерфейсов позволяет повысить качество клиентского сервиса, сокращая время вывода решений на рынок.
Однако эксперты указывают на риски нового проекта. Риски открытого программного кода заключаются в возможности неправомерного доступа к клиентской информации, в создании вирусного ПО, взаимодействующего с банковскими приложениями, отмечает управляющий партнер экспертной группы Veta Илья Жарский. «Риски информационной безопасности должны быть проработаны на высочайшем уровне»,— указывают в ВТБ.
При этом экономическая выгода от реализации данного предложения неочевидна. По словам господина Жарского, если небольшому банку вдруг стало необходимо сделать код своего клиентского ПО открытым, то затраты на это могут превышать годовой бюджет на обслуживание всей IT-системы банка, и государство в этом должно помогать. «На «апишках», отдающих данные о местоположении банкоматов и отделений, не построишь бизнес-кейс»,— считает сооснователь и CEO APIBank Алексей Петров. Open Banking, поясняет эксперт, это в первую очередь безопасный обмен более серьезными данными: когда небанковская организация — «доска объявлений» или финансовый маркетплейс — получает возможность в интерфейсе своего сайта или приложения открыть счет, выпустить брендированную карту или обеспечить безопасную сделку.
Mastercard может запустить в России денежные переводы по номеру телефона за рубеж. Аналогичный сервис для переводов внутри страны не может конкурировать с Системой быстрых платежей ЦБ
Международная платежная система Mastercard планирует запустить в России сервис денежных переводов с карты на карту по номеру телефона за границу. Платежная система обсуждает это с банками, информация о планах запустить сервис размещена в стратегических документах Mastercard, рассказали РБК два источника на банковском рынке. О том, что Mastercard обсуждает разработку сервиса, осведомлен еще один собеседник на рынке.
У Mastercard есть сервис Mastercard Hub, в котором платежная система хранит все мобильные номера клиентов, привязанные к карточному счету, — именно он будет использован в создании нового платежного решения, пояснил один из источников.
«Мы продолжаем активно развивать сервисы денежных переводов и исследуем различные варианты, в том числе и возможность переводов по номеру телефона в другие страны», — ответили РБК в пресс-службе Mastercard. Заинтересованность в дальнейшем развитии сервисов денежных переводов с Mastercard выразил банк «Русский стандарт», сказал РБК его представитель. Остальные крупные банки не ответили на соответствующий вопрос РБК.
Конкуренция с СБП
«Международные платежные системы давно задумались о переводах по номеру телефона, однако их планам помешала запущенная в начале 2019 года Система быстрых платежей Банка России, которая также позволяет совершать переводы по номеру телефона и работает с гораздо большим числом банков. Поэтому сейчас платежные системы концентрируются на развитии этого проекта в трансграничном направлении», — пояснил один из собеседников РБК. Он добавил, что банки приступят к активному внедрению сервиса после завершения запуска СБП.
Сервис будет доступен для держателей карт Mastercard, которые выпущены банками — участниками проекта, пояснил другой собеседник: чтобы совершить перевод, клиент должен будет зарегистрировать свою карту в Mastercard Hub через мобильное приложение банка, далее выбрать переводы по номеру телефона, ввести номер получателя, сумму перевода, указать, что перевод осуществляется за рубеж, и совершить транзакцию. Номер телефона является упрощенным идентификатором для пользователей: так как он привязан к карте, банк и платежная система видят все необходимые данные получателя средств, а именно — его карточный счет и Ф.И.О.
Аналоги на рынке
— Mastercard весной прошлого года уже запустила аналогичный сервис переводов по номеру телефона или адресу электронной почты внутри страны. Чтобы совершить перевод, карта банка, подключенного к системе, должна быть хотя бы у одной из сторон процесса. Пока к сервису подключены только два банка: Райффайзенбанк и Сургутнефтегазбанк. Система быстрых платежей ЦБ, к которой банки должны подключиться в обязательном порядке в 2019–2020 годах, уже действует в 16 банках.
— С таким же проектом на российский рынок в конце 2018 года вышла другая платежная система — Visa, сейчас в нем принимают участие четыре банка: ВТБ, «Русский стандарт», Тинькофф Банк и «Хоум Кредит». Источники РБК рассказывали, что Visa обсуждает с банками расширение сервиса на зарубежные переводы.
— В настоящее время держатели карт Mastercard или Maestro могут переводить деньги по России и в 17 стран мира через социальные сети «Одноклассники» и «ВКонтакте».
— Весной этого года два подобных сервиса запустил Сбербанк. Через приложение «Сбербанк Онлайн» можно отправлять переводы в страны СНГ и ближнего зарубежья по Ф.И.О. и номеру телефона получателя, однако деньги приходят в отделение Western Union в стране назначения. Еще один сервис мгновенных денежных переводов позволяет через приложение отправлять деньги на банковские счета в 14 европейских странах, зная номер счета получателя, его имя и фамилию, а также наименование банка.
По данным ЦБ, за 2018 год физические лица перевели из России около $47,8 млрд, в том числе через банки и платежные системы (Western Union, «Золотая корона» и т.п.). На системы денежных переводов пришлось $9,5 млрд, на $0,4 млрд больше, чем в 2017 году.
Конкуренция с «Золотой короной» и Western Union
Выход второго крупнейшего оператора платежных систем на рынок трансграничных переводов может полностью изменить ландшафт рынка и вытеснить с него «традиционных» операторов, таких как Western Union или «Золотая корона», считает старший менеджер департамента управления рисками Deloitte Сергей Гришунин. Ужесточение конкуренции может поспособствовать снижению тарифов на переводы, добавляет он.
Востребованность сервиса не будет высокой, так как этот сегмент достаточно плотно занят различными игроками, считает глава ассоциации «Финансовые инновации» Роман Прохоров. Сложность в том, что p2p-переводы (между владельцами карт) во многих странах мира не так популярны, не по всем направлениям их можно совершать из-за законодательных ограничений и комплаенс-политик банков, поэтому российские банки пока не могут гарантировать, что банк получателя примет такой перевод, говорит директор по сегментам и некредитным продуктам розничного бизнеса Альфа-банка Алексей Ермаков.
На частоту использования нового сервиса будет влиять размер комиссий и возможные ограничения из-за валютного контроля, отмечает Гришунин. Ограничение аудитории держателями карт Mastercard является минусом сервиса, которого нет у тех же «Золотой короны» или Western Union, поэтому услуга не подходит трудовым мигрантам — скорее всего, ее будут использовать для переводов обучающимся детям и родственникам за рубеж, полагает Прохоров.
Такой сервис может использоваться для оплаты серого импорта из Китая и Средней Азии, предупреждает Гришунин. «Платежная система может избежать проблем, если установит адекватные и соответствующие законам лимиты на перевод и дополнительно инвестирует в механизмы реагирования на риски», — объясняет он. По российским законам трансграничные переводы между физическими лицами возможны на основаниях, не связанных с предпринимательской деятельностью, при этом сумма одного перевода не должна превышать $5 тыс., напомнил Гришунин.
ЦБ оценил предложение о блокировке карт за подозрительные переводы
Банк России сомневается в эффективности предложения Ассоциации банков России, выступившей с инициативой о продлении срока блокировки карт, на которые приходят подозрительные переводы, до 30 дней. Об этом говорится в сообщении Центробанка, поступившем в РБК.
В комментарии регулятора отмечается, что развитие систем дистанционного банковского обслуживания позволяет мгновенно использовать поступившие на карту деньги. По статистике ЦБ, похищенные средства, которые переводят на другие карты, выводятся уже в первые часы после поступления на счет. «Таким образом, увеличение срока блокировки средств на расчетном счете клиента может иметь обратный эффект, когда банки будут применять соответствующие меры после вывода злоумышленником похищенных средств», — заключили в ЦБ.
В Центробанке напомнили, что «любые изменения законодательства возможны только при условии оценки эффективности предлагаемых мер». Однако в предложении Ассоциации банков России не было подобных данных. Сам регулятор оценить эффективность такой инициативы не может, поскольку такие расчеты могут быть произведены лишь на основании данных, которые есть только у самих банков.
Компании проверят на платежкоспособность
Систему быстрых платежей испытают на юрлицах
Компании могут получить возможность выставлять счета и переводить средства друг другу через систему быстрых платежей (СБП). Расширение возможностей СБП для бизнеса активно обсуждают ЦБ, НСПК и коммерческие банки. По словам экспертов, пилотный проект может быть запущен до конца года. Однако для этого участникам рынка потребуется решить ряд вопросов, в первую очередь в отношении идентификатора юридических лиц, а также минимизации рисков мошеннических и сомнительных с точки зрения «антиотмывочного» закона операций.
Как стало известно “Ъ”, на прошлой неделе состоялась закрытая встреча с участием банков — членов ассоциации «Финтех», ЦБ и Национальной системы платежных карт (НСПК), на которой обсуждалось распространение системы быстрых платежей (СБП) на расчеты между юридическими лицами. Хотя это не первая встреча, где поднимался данный вопрос, именно сейчас появилась некая ясность, как процесс расчетов между компаниями может быть реализован через СБП, отмечают ее участники.
Система быстрых платежей была запущена 28 февраля. Пока с ее помощью граждане могут переводить деньги между счетами в разных банках по номеру телефона. На старте к СБП было подключено всего 12 банков, сейчас в ней 16 кредитных организаций, семь из которых системно значимые.
По словам начальника управления развития МСБ Абсолют-банка Сергея Нечушкина, возможность b2b-переводов интересна бизнесу. Сейчас главная проблема предпринимателей, отметил он, это длительное прохождение денежных средств между компаниями, в том числе проблемы поиска платежей клиентов из-за ошибки в реквизитах. «Тормозом» же во внедрении b2b-переводов, по словам другого участника прошедшей встречи, является необходимость борьбы с мошенническими операциями, которые при расчетах на крупные суммы между юридическими лицами весьма вероятны, более жесткий контроль за трансакциями корпоративных клиентов с точки зрения «антиотмывочного» закона.
Возможное решение проблемы было предложено НСПК, представители которой рекомендовали дать возможность бизнесу не просто переводить деньги через СБП, но и выставлять через нее счета, рассказывают участники встречи. «Это потребует от кредитной организации серьезной работы, интеграции своих процессов с наиболее популярными бухгалтерскими программами»,— рассказывает собеседник “Ъ” в крупном банке. Однако, по его словам, в итоге будут «не просто исключены ошибки в реквизитах, но и переводы юрлиц станут более прозрачными».
Фактически банки будут видеть, за что конкретно переводятся средства, что «во многом упростит работу служб комплаенс банка», поясняет собеседник “Ъ”. Реализовано это может быть, по словам экспертов, через тот же динамический QR-код, который по сути и является счетом.
Впрочем, электронный документооборот в СБП на встрече было предложено отложить на более далекую перспективу. «На первом этапе пилота решили оставить обмен счетами вне рамок СБП и реализовать для компаний возможность переводить друг другу средства через СБП без ввода реквизитов, по простому идентификатору, то есть по аналогии с физлицами»,— отметил собеседник “Ъ” в другом крупном банке.
По словам руководителя направления эквайринга и электронной коммерции банка «Ак Барс» Ильназа Ситдикова, на встрече как раз и обсуждались возможности перевода средств по уникальным идентификаторам (ID) счета компании и самой организации. Кроме того, рассказывают участники встречи, также необходимо для первого этапа установить ряд ограничений по СБП, чтобы исключить риски фродовых операций или же операций, направленных на легализацию преступных доходов. Как пояснили “Ъ” в Райффайзенбанке, сейчас идет работа над определением оптимального баланса функциональности, ограничений и бизнес-эффективности.
Владимир Комлев, гендиректор Национальной системы платежных карт, на ПМЭФ 11 июня: «Банки видят в СБП возможность дополнительного заработка на переводах»
Точных сроков старта пилотного проекта по внедрению b2b-переводов пока нет. В Банке России “Ъ” сообщили, что вопрос целесообразности реализации b2b-платежей в СБП в настоящее время обсуждается с банковским сообществом. При этом сегодня b2b-платежи уже осуществляются в рамках других сервисов платежной системы, отметили в ЦБ. В НСПК на запрос “Ъ” не ответили. Участники встречи отметили, что его старт может быть начат после обкатки переводов c2b с использованием QR-кода.
Вместе с тем юристы отмечают, что для запуска системы будет важен учет многих других нюансов. «Например, те же мгновенные платежи и мгновенный же обмен счетами необходим будет компаниям лишь в случае наличия возможности моментального получения счетов-фактур для расчета НДС, а это значит, что к разработке, скорее всего, потребуется подключить и представителей налоговой службы,— уверен управляющий партнер «Ренессанс-Lex» Георгий Хурошвили.— Или же подключение правоохранительных органов для проработки вопроса по механизму возврата похищенных через СБП средств».
Онлайн-платежи в России: исследование Mediascope
Компания Mediascope изучила, как и за что платили онлайн жители России в 2018-2019 годах.
Оказалось, что в целом доля пользователей, которые периодически платят через интернет, почти не изменилась. При этом выросло число тех, кто рассчитывается онлайн за такси, бронирование отелей и покупку билетов на транспорт, а пользователей, которые отправляют денежные переводы и платят за онлайн-игры, стало немного меньше. Чаще всего для оплаты люди используют банковские карты, Сбербанк Онлайн и Яндекс.Деньги.
За что платят: чаще за такси и реже за игры
Большая часть пользователей уже имеет опыт онлайн-оплаты мобильной связи (85,8%), покупок в интернет-магазинах (81%) и услуг ЖКХ (74%). Эти категории уже несколько лет входят в число самых популярных. За год доля онлайн-плательщиков в них не изменилась.
Динамичнее всего растет доля пользователей, которые платят онлайн за такси. За год она выросла почти на 12% — с 45,4% в 2018 до 50,8% в 2019 году. Интересно, что за такси чаще рассчитывались молодые люди — около 64% респондентов в возрасте от 18 до 24 лет и почти 63% в группе от 25 до 34 лет. Среди аудитории от 35 до 44 лет платили онлайн 50% опрошенных, а в группе от 45 до 55 лет — всего 39%. Выросло также число людей, которые через интернет бронируют отели и покупают билеты на транспорт, — примерно на 3% в каждой категории.
Только в двух категориях доля пользователей, которые платят через интернет, уменьшилась — это денежные переводы (с 57,2% до 55%) и онлайн-игры (с 28,5% до 25,3%).
Чем платят в интернете пользователи разных возрастов
Банковские карты остаются самым популярным средством для платежей в интернете. Ими за год воспользовались 90,5% россиян. Через интернет-банкинг платили 89,7%, электронными деньгами — 77,6%.
Самая активная платежная аудитория в онлайне — пользователи от 25 до 34 лет. Электронными деньгами платили 82,2% респондентов этой возрастной группы, через интернет-банкинг — 93,9%. Самая большая доля пользователей банковских карт в более старшей группе — от 35 до 44 лет (94,4%).
Лидером среди платежных онлайн-сервисов традиционно остался Сбербанк Онлайн. С его помощью хотя бы раз за год платили 83,2% россиян. Яндекс.Деньги оказались вторым по популярности сервисом — через них рассчитывался каждый второй пользователь рунета (52,8%). В тройку лидеров вошел также PayPal (46,1%). На четвертом и пятом местах оказались электронные кошельки WebMoney и QIWI (39,9% и 36,9% соответственно). Около четверти респондентов платили онлайн через интернет-банкинги ВТБ, Альфа-Банка и Тинькофф Банка.
Через сервис VK Pay, который вышел на рынок позже других электронных кошельков, рассчитывались 15,4% пользователей. В основном этот способ выбирает молодая аудитория: самая большая доля пользователей сервиса — от 18 до 24 лет. У остальных сервисов электронных денег больше всего пользователей в группе от 25 до 34 лет. Тем не менее даже у аудитории 18-24 лет самые популярные платежные сервисы — это Сбербанк Онлайн (83,2%), Яндекс.Деньги (45%), QIWI (40,6%).
Бесконтактные платежи: рост продолжается
Бесконтактные платежи популярнее всего у аудитории от 25 до 34 лет (57,3%). В среднем ими воспользовались за год 44,8% россиян, годом ранее — 38,3%.
Среди бесконтактных систем лидирует Google Pay, число пользователей которой за год выросло с 19,6% до 22,9%. Через Apple Pay платили 18,9% респондентов, через Samsung Pay — 15,5%. У Garmin Pay аудитория заметно меньше — с его помощью рассчитывались около 2% респондентов. Однако среди пользователей 18-24 лет Apple Pay занял первое место (29%). Больше всего пользователей Google Pay в группе от 25 до 34 лет. Samsung Pay традиционно замыкает тройку лидеров. У людей от 35 до 44 лет корейский сервис оказался популярнее, чем Apple Pay, но он не смог обогнать Google Pay.
Об исследовании Mediascope
Исследование Mediascope проводилось в апреле — мае 2018 и июне — июле 2019 года. В онлайн-опросе участвовали россияне 12-55 лет из городов с населением от 700 тыс. человек (в шести федеральных округах) и городов Дальневосточного региона с населением от 600 тыс. человек. Участники исследования пользуются интернетом хотя бы раз в неделю и минимум раз в год платят за различные товары и/или услуги с компьютера и/или смартфона.
Group-IB: ущерб от атак хакерской группы Silence приблизился к 300 млн руб.
Group-IB опубликовала технический отчет «Silence 2.0: going global» о преступлениях русскоязычных хакеров Silence.
По данным Group-IB, подтвержденная сумма хищений группой Silence с июня 2016 года по июнь 2019 года составила не менее 272 млн рублей. Жертвами Silence уже стали российские банки, однако в новом отчете фиксируется значительное расширение географии их преступлений: аналитики Group-IB обнаружили атаки Silence более чем 30 странах Европы, Азии и СНГ.
Новый отчет Group-IB «Silence 2.0: going global» содержит полное техническое исследование инструментов и тактики группы, а также включает индикаторы компрометации атакованных целей. «Обладая наиболее полной экспертизой о деятельности Silence и опытом проведения реагирований на их атаки, мы считаем необходимым информировать не только клиентов, но и профессиональное коммьюнити об этой угрозе, — заявил Дмитрий Волков, руководитель направления киберразведки и CTO Group-IB, — Эволюция группы, модификация прежних инструментов и появление новых усложняют выявление и предотвращение киберинцидентов, связанных с ней. Учитывая растущий ущерб от деятельности Silence, для повышения эффективности противостояния этой группе во всем мире мы приняли решение выложить прежний отчет «Silence: Moving into the darkside» и новый «Silence 2.0: going global» в открытый доступ. Публикация этих уникальных аналитических материалов позволит компаниям и аналитикам в разных странах корректно атрибутировать атаки Silence и детектировать их на ранней стадии». В Group-IB подчеркивают, что из отчетов исключены данные, которые могут помешать расследованию киберпреступлений группы.
Зловещая тишина: атаки от России до Латинской Америки
Эксперты Group-IB непрерывно следят за активностью Silence c 2016 года. Первое исследование “Silence: Moving into the darkside”, выпущенное Group-IB в сентябре 2018 года, остается наиболее полным источником технической информации об инфраструктуре и инструментах, использовавшихся киберпреступниками с июня 2016 года по апрель 2018 года.
Второй отчет охватывает период с мая 2018 года по 1 августа 2019 года. За это время системой мониторинга, анализа и прогнозирования киберугроз Group-IB Threat Intelligence было зафиксировано не менее 16 новых кампаний Silence, нацеленных на банки разных стран. В целом, по данным Group-IB, в 2019-м году география атак Silence стала самой обширной за все время существования группы. Хакерами были заражены рабочие станции более чем в 30 государствах мира в Азиатском регионе, Европе и СНГ. В июле жертвами Silence стали банки в Чили, Болгарии и Гане, в июне хакеры провели серию атак на российские банки, в мае – две успешных атаки: в Киргизии и бангладешском банке Duch-Bangla, в феврале – омский «ИТ Банк», в январе – взлом банка в Индии. Подтвержденный ущерб, нанесенный Silence, с момента релиза прошлого отчета вырос в 5 раз и составил не менее 272 млн рублей или 4,2 млн долларов США.
Silence: инструменты, тактика, связь с хакерами TA505
Начав с целей в России, атакующие постепенно перемещали фокус на СНГ, а затем вышли на международный рынок. Среди тактических изменений – «двухходовка» на подготовительном этапе атаки. Сначала по огромной базе адресов (до 85 000) рассылаются письма-пустышки без вредоносной нагрузки. Это позволяет хакерам обновить свою базу актуальных целей, расширить географию атак и понять, какие решения по кибербезопасности используются в банке. Результатом этой тестовой рассылки является создание «боевой» базы почтовых адресов. Именно по этой базе пойдет рассылка с вредоносным вложением. В отчете рассматриваются три таких кампании, охватившие Россию и СНГ, Азию и Европу. Суммарно хакеры отправили более 170 000 писем для актуализации адресов будущих целей.
В ответ на усиленное внимание со стороны разработчиков решений для кибербезопасности Silence внесли ряд модификаций в свои инструменты и начали использовать новые. Так, был кардинально переписан первичный загрузчик Silence.Downloader (или TrueBot), применяемый на первой стадии атаки и во многом определяющий ее успешность. Изменения коснулись логики исполнения Silence.Downloader и Silence.Main, а также команд, исполняемые ботами.
В ходе реагирований на киберинциденты, связанные с Silence, были выявили новые инструменты. Так, 23 июня 2019 года специалисты Group-IB зафиксировали атаки на банки Чили, Коста-Рики, Ганы и Болгарии. Здесь использовался инструмент, догружаемый основным трояном Silence.Main и основанный на публичных проектах для тестирований на проникновение Empire и dnscat2. Инструмент получил название EmpireDNSAgent или просто EDA.
Также в мае 2019 года был обнаружен Ivoke-бэкдор — полностью бесфайловый троян, задача которого собрать сведения о зараженной системе и загрузить следующую стадию по команде от управляющего сервера. Кроме того, к инструментам группы добавлен троян для атаки через банкоматы xfs-disp.exe. Предположительно именно он использовался в «ИТ Банке».
Анализируя арсенал Silence, эксперты Group-IB обнаружили сходство между кастомным трояном Silence.Downloader и загрузчиком FlawedAmmyy.Downloader, который связывают, в том числе, с атаками хакеров ТА505. Обе программы разработаны одним человеком, который привлекался Silence для работы над загрузчиком. Русскоязычная группа ТА505 известна с 2014 года (по данным Proofpoint), ее связывают с масштабными вредоносными кампаниями и атаками на финансовые учреждения США, Объединенных Арабских Эмиратов и Сингапура. В последних кампаниях TA505 использует FlawedAmmyy, полнофункциональной RAT, позволяющий злоумышленникам получить административный контроль над зараженным устройством для мониторинга активности пользователей, профилирования системы и кражи учетных данных.
Атаки и атрибуция
Учитывая инициированные расследования, Group-IB детально разбирают в своем отчете две известных атаки: на бангладешский банк Dutch-Bangla , из которого было выведено не менее 3 млн. долларов, и на «ИТ Банк» в России, из которого удалось похитить около 25 млн. руб.
18 января 2019 Group-IB сообщила о фишинговой рассылке Silence, в которой вредоносное вложение было замаскировано под приглашение на iFin-2019, XIX Международный Форум iFin-2019 “Электронные финансовые услуги и технологии”. Установлено, что почтовые адреса сотрудников «ИТ Банка» были среди получателей этих писем. Эти письма стали точкой входа, благодаря которой Silence развил свою атаку до финального этапа. 25 февраля 2019 на VirusTotal с российского IP-адреса вручную через веб-интерфейс была загружена программа xfs-test.exe, скомпилированная 10 февраля 2019. Данная программа предназначена для отправки команд напрямую диспенсеру банкомата, в результате выполнения которых вся наличность будет выдана. Уже через два дня после компиляции в СМИ появилась информация о хищении из банкоматов «ИТ Банка».
31 мая 2019 года семеро мужчин в медицинских масках сняли наличность в банкоматах Dutch- Bangla Bank в Бангладеше. Экспертам Group-IB удалось установить, что сервер Silence начал функционировать не позднее 28 января 2019 года. Взаимодействие с IP-адресами, принадлежащими сетевой инфраструктуре банка Dutch- Bangla, начало осуществляться не позднее 16 февраля 2019 года. Заранее открытые карты банка дважды использовались му