Hakerzy celują w transfery pieniężne funduszy inwestycyjnych!
Przez kilka miesięcy hakerzy, manipulowali korespondencją e-mailową, rejestrując podobne domeny do instytucji bankowych i wypłacał pieniądze w transzach. W sumie, w wyniku 4 oddzielnych transakcji bankowych przestępcy chcieli wypłacić kwotę 1,1 miliona funtów brytyjskich. Polska może być ciekawym celem ataków również ze względu na aktywność funduszy private equity i venture capital. Z danych Bain & Company wynika, że łączna wartość inwestycji dokonanych przez fundusze private equity w Polsce wzrosła do około 1,5 mld euro w 2019 roku z 1,1 mld euro rok wcześniej
Fundusze inwestycyjne oraz banki stały się celem ataków zorganizowanej grupy hakerów, którzy wysyłali scam i tworzyli domeny do przechwytywania przelewów bankowych. Grupa nazwana Florentine Banker, dokonała próby przejęcia przelewu w wysokości 1,3 mln USD wysłanego przez 3 fundusze private equity. Czy polskie fundusze są również zagrożone?**
Analitycy firmy Check Point ujawnili przestępczą działalność gangu hakerów Florentine Banker, który obrał za cel transakcje trzech brytyjskich firm private equity. Przez kilka miesięcy Florentine Banker, manipulował korespondencją e-mailową, rejestrując podobne domeny do instytucji bankowych i wypłacał pieniądze w transzach. W sumie, w wyniku 4 oddzielnych transakcji bankowych przestępcy chcieli wypłacić kwotę 1,1 miliona funtów brytyjskich (1,3 miliona USD) na anonimowe konta bankowe w Hong Kongu i Wielkiej Brytanii. Interwencja firmy Check Point pozwoliła na zablokowanie i odzyskanie 570.000 funtów. Reszta środków bezpowrotnie zniknęła. Analiza działania „gangu” wskazuje, że stworzyli łącznie kilkanaście fałszywych domen, które służyły do wyłudzania pieniędzy – ostrzega Check Point.
Oprócz ataku na brytyjskie fundusze, w grupie ryzyka znalazły się instytucje w USA, Kanadzie, Szwajcarii, Włoszech i Niemczech. Nie oznacza to, że Polska jest poza kręgiem zainteresowania hakerów finansowych. Wręcz przeciwnie. Szczególnie niepokojący jest wzrost aktywności trojana Dridex w Polsce w ostatnim miesiącu. Z danych Check Pointa wynika, że jedno z największych ognisk infekcyjnych trojana Dridex znajduje się właśnie w naszym kraju, gdzie wykryto go w przeszło 16,7% organizacji!
Dridex jest szczególnie lukratywnym rodzajem złośliwego oprogramowania dla cyberprzestępców, ponieważ z jednej strony potrafi wykraść dane uwierzytelniające, w tym bankowe, z drugiej może pobierać i uruchamiać dodatkowe moduły zdalnego sterowania. Z naszych danych wynika, że Dridex jest prawdziwą plagą w polskich sieciach firmowych. O powadze zagrożenia świadczą szacowane straty mogące sięgać dziesiątek, jeśli nie setek milionów Euro – ostrzega Wojciech Głażewski, dyrektor zarządzający Check Point w Polsce.
Polska może być ciekawym celem ataków również ze względu na aktywność funduszy private equity i venture capital. Z danych Bain & Company wynika, że łączna wartość inwestycji dokonanych przez fundusze private equity w Polsce wzrosła do około 1,5 mld euro w 2019 roku z 1,1 mld euro rok wcześniej. Z danych PFR Ventures tymczasem wynika, że w pierwszych trzech miesiącach 2020 przeprowadzono 55 transakcji, w które zaangażowanych było 45 funduszy. Wartość przelanego kapitału do polskich spółek wyniosła 190 milionów PLN.
Jak działa grupa florencka?
Hakerzy grupy florenckiej przygotowują ukierunkowaną kampanię phishingową przeciwko kluczowym osobom w funduszu inwestycyjnym, często dyrektorom generalnym i dyrektorom finansowym odpowiedzialnym za transakcje pieniężne. W przypadku 3 brytyjskich funduszy byli to pracownicy, z których jeden podał swoje dane uwierzytelniające. Ataki phishingowe były powtarzane wielokrotnie, dopóki atakujący nie mieli dokładnego rozeznania w strukturze obrazu finansowego firmy. Następnym krokiem było wprowadzenie fałszywych informacji o koncie bankowym za pomocą następujących dwóch technik: przechwytywania legalnych przelewów, generowanie nowych żądań przelewów w postaci oszukanych wiadomości e-mail (wyglądających jak te wysyłane zazwyczaj z komputerów pracowników firmy). Bankier-oszust manipulował rozmową, dopóki strona trzecia nie zatwierdziła nowych danych bankowych i nie potwierdziła transakcji.
W przypadku brytyjskich funduszy private equity atakujący wykorzystali łącznie siedem różnych domen lub stron internetowych. Po dokładnym zbadaniu Check Point znalazł 39 dodatkowych, podobnie wyglądających domen zarejestrowanych w latach 2018-2020, wyraźnie imitujących różne instytucje finansowe, które mogły być celem Florentine Banker. Aby chronić prywatność potencjalnych ofiar, Check Point nie chce ujawniać nazw tych firm, ale starał się skontaktować z tymi organizacjami, aby zapobiec kolejnym atakom.
W tych czasach przelewy są bardzo powszechne - od codziennych działań po rządowe pakiety antykryzysowe zarówno dla obywateli, jak i przedsiębiorstw. Wzywam wszystkich do zwrócenia szczególnej uwagi na to, co wchodzi i wychodzi ze swoich skrzynek odbiorczych, ponieważ możemy korespondować właśnie z Florentine Banker – podkreśla Lotem Finkelsteen, kierownik działu wywiadu zagrożeń w Check Point.
mw, mat prasowe