SRI: 38.000 de atacuri cibernetice asupra României, în doar 2 zile. Toți românii care au card bancar pot fi „atacați” de virusul Tinba v3

„SRI are în atenție și riscul potențial ca sistemul bancar din România să fie ținta unor atacuri cibernetice derulate prin intermediul aplicației menționate, cunoscută sub denumirea de Tinba v3. Este o aplicație malițioasă, activă din 2012, care vizează în special clienții băncilor. Versiunea acesta este prima din generația din Tinba care este adaptată pieței bancare românești. Din investigațiile noastre, până în prezent nu s-a confirmat existența unor victime în țara noastră”, a declarat purtătorul de cuvânt al SRI, care a adăugat că această aplicație se afla în atenția Serviciului încă de la data apariției.

SRI precizează că România reprezintă o țintă a atacurilor cibernetice din partea entităților ostile, atât actori statali, cât și nonstatali, fapt confirmat de „miile de alerte zilnice” recepționate. „De exemplu, în intervalul 12-13 august au fost peste 38.000 de atacuri cibernetice, (…) materializate în urma recepționării unor mesaje e-mail cu atașamente malițioase de tip ransomware”, a mai spus purtătorul de cuvânt al SRI.

SRI investighează atacurile cibernetice ce vizează infrastructurile cibernetice de interes național și furnizează beneficiarilor legali informații necesare prevenirii, stopării și limitării consecințelor unor astfel de atacuri cibernetice, mai precizează instituția.

IBM a descoperit o versiune de malware Tinba v3 configurată pentru a ataca exclusiv 12 bănci din România, iar un expert în cyber intelligence al companiei americane recomandă instituțiilor de credit să-și informeze clienții și să colaboreze cât mai bine cu furnizorii de securitate antifraudă.

Noul program are potențialul de a deveni cel mai prolific troian care atacă bănci în România, detronând Dridex, responsabil de peste 80% din atacurile din acest an, avertizează specialistul IBM.

Cercetătorii IBM Security X-Force au analizat la sfârșitul lunii iulie o nouă variantă a Tinba v3 Trojan, iar aceasta este, potrivit datelor companiei americane, prima de acest fel dedicată băncilor din România, scrie pe blogul securityintelligence Limor Kessem, unul dintre experții IBM.

România este recunoscută ca fiind o sursă de atacuri și este rareori o țintă, afirmă Kessem.

„Precedentele versiuni ale acestui program malware au atacat o serie de țări europene, dar România nu a fost printre ele și este rareori o țintă importantă. Analiza noastră arată că dezvoltatorii Tinba v3 au extins capacitatea și anvergura programului malware actualizând webinjections (metode prin care modifică site-urile băncilor, n.r.) pentru a se potrivi noilor bănci vizate din țara est-europeană”, notează expertul IBM.

Tinba Trojan (cunoscut și ca TinyBanker sau Zusy) a fost descoperit la mijlocul anului 2012. Programul a fost numit Tiny (mic) din cauza dimensiunii reduse a fișierului, de numai 20 KB, care include configurația și kit-ul de webinjections.

Programul malware a funcționat inițial ca un troian bancar clasic, care viza obținerea datelor de identificare (nume de utilizator și parola) ale clienților băncilor.

Deși la început a fost folosit exclusiv de cei care l-au creat și gruparea din care făceau parte, codul sursă a fost obținut și de alte persoane la mijlocul anului 2014, iar proiectul a început să evolueze în direcții diferite. Astfel au apărut variantele Tinba v2 și Tinba v3. Fiecare este un troian independent, dezvoltat și actualizat de persoane diferite.

Cea mai recentă variantă a Tinba este a patra, însă dintre toate Tinba v3 pare să fie cea mai activă și posibil cea mai viabilă din punct de vedere comercial.

Versiunea care vizează băncile din România în prezent este legată de Tinba v3. Chiar de la prima lansare, această variantă a arătat că programatorul a muncit destul de mult la noi funcții pentru a îmbunătăți tehnicile programului de a evita sistemele de securitate și de a contacta gruparea care l-a lansat.

În ce privește proliferarea malware în acest an, potrivit datelor IBM Security, Tinba se află pe poziția a șasea.

Tinba v3 atacă online clienți ai băncilor în toată Europa, dar mai ales în Polonia, Italia, Germania și Olanda. Aceasta este, conform datelor IBM Security X-Force, prima situație în care o variantă a acestui program a fost descoperită atacând în România.

„Ținând cont de campaniile Tinba v3 cunoscute de IBM Security, ne așteptăm să vedem mai multe atacuri Tinba în România în perioada următoare. România ar putea să înceapă abia acum să se confrunte cu Tinba, dar are deja probleme cu variante ale Dridex, Dyre, Neverquest și Zeus v2. Datele IBM Security arată că de la începutul anului cel mai activ troian în România este Dridex, însă această situație s-ar putea schimba dacă activitatea Tinba se accelerează”, notează expertul IBM.

Potrivit IBM, 81% din atacurile înregistrate în acest an asupra băncilor din România au venit din partea unor variante Dridex, de 18% a fost responsabil programul Dyre, urmat de Neverquest și Zeus v2, cu aproximativ 1% fiecare.

Având în vedere că Tinba v3 este proiectat să strângă cantități mari de informații personale precum și coduri de autentificare în timpul sesiunilor de utilizare a serviciilor bancare prin internet, IBM Security recomandă băncilor să-și atenționeze clienții despre această amenințare și să actualizeze secțiunile site-urilor de informare în privința securității utilizării online a serviciilor bancare.

Totodată, băncile din România ar trebui să ceară clienților să raporteze email-urile suspecte. Instituțiile financiare ar trebui, de asemenea, să lucreze îndeaproape cu furnizorul de servicii antifraudă pentru a reduce riscuriel cât mai mult posibil.