Банк промышленно-инвестиционных расчетов
ПИР Банк

Компания

Банк промышленно-инвестиционных расчетовПИР Банк
300px

Общество с ограниченной ответственностью Банк промышленно-инвестиционных расчетов (ООО «ПИР Банк») – универсальная столичная кредитная организация. Генеральная лицензия ЦБ РФ № 2655. Банк начал свою работу 20 января 1994 года и работает на рынке банковских услуг России уже более 22 лет. Банк является членом АРБ, Московского Банковского Союза, Международной платежной системы VISA International, секции валютного рынка ММВБ, а также системы страхования вкладов, свидетельство № 284 от 9 декабря 2004 г.

ПИР Банк работает на рынке финансовых услуг с 1994 года и предлагает своим клиентам широкий спектр финансовых услуг, включая расчетно-кассовое обслуживание, инкассацию, кредитование, депозитные операции, документарные операции, выпуск и обслуживание пластиковых карт, индивидуальные банковские сейфы, услугу «Персональный менеджер» и другие банковские сервисы.

2024: Бывшего заместителя председателя правления Андрея Серебренникова приговорили к 4 годам тюрьмы за хищение 57 млн рублей

14 августа 2024 года Пресненский районный суд города Москвы признал бывшего заместителя председателя правления Пир-банка Андрея Серебренникова виновным в хищении у кредитной организации более 57 млн рублей. Подсудимый получил четыре года лишения свободы. Подробнее здесь

2018

ЦБ отозвал лицензию у ПИР Банка

Банк России с 12 октября отозвал лицензию на осуществление банковской деятельности у «ПИР Банка». Об этом сообщили в пресс-службе ЦБ. Согласно данным отчетности, по величине активов на 01.10.2018 кредитная организация занимала 296 место в банковской системе Российской Федерации.

«В деятельности ООО ПИР Банк выявлены многочисленные нарушения законодательства и нормативных актов Банка России в области противодействия легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма (ПОД/ФТ) в части полноты и достоверности направлявшихся в уполномоченный орган сведений, в том числе по операциям, подлежащим обязательному контролю», — отметили в ЦБ.

ООО ПИР Банк на протяжении длительного времени находился в поле зрения Банка России в связи с проведением транзитных сомнительных операций. Снижение объема указанных операций происходило исключительно по результатам применения регулятором соответствующих мер воздействия ограничительного характера.

Банк России неоднократно (4 раза в течение последних 12 месяцев) применял в отношении ООО ПИР Банк меры надзорного воздействия, в том числе дважды вводил ограничения на привлечение денежных средств населения.

В сложившихся обстоятельствах Банком России было принято решение об отзыве у ООО ПИР Банк лицензии на осуществление банковских операций.

ООО ПИР Банк является участником системы страхования вкладов

Group-IB: «ПИР Банк» был атакован хакерской группой MoneyTaker

Group-IB, международная компания, специализирующаяся на предотвращении кибератак и разработке продуктов для информационной безопасности, установила, что за атакой на российский «ПИР Банк» и попыткой хищения нескольких десятков миллионов рублей стоит преступная группа MoneyTaker. Инцидент произошел 3 июля с использованием АРМ КБР (автоматизированное рабочее место клиента Банка России). По заявлению банка, денежные средства выведены веерной рассылкой на пластиковые карты физических лиц в 17 банках из топ-50, большая часть денежных средств обналичена уже в ночь хищения. После этого злоумышленники попытались «закрепиться» в сети банка для подготовки последующих атак, однако вовремя были обнаружены специалистами Group-IB.

«
«В рамках произошедшего инцидента специалисты компании Group-IB в максимально короткие сроки помогли установить предполагаемый источник атаки, выстроить цепочку событий, а также локализовать проблему. На данный момент банк работает в штатном режиме, все рекомендации компании Group-IB применяются и будут применяться в работе банка, чтобы не допустить подобных инцидентов в будущем», — рассказала Колосова Ольга, председатель правления ООО «ПИР Банк».
»

Исследовав зараженные рабочие станции и сервера финансовой организации, криминалисты Group-IB собрали неопровержимые цифровые доказательства причастности к краже хакеров из MoneyTaker. В частности, экспертами были обнаружены инструменты, которые ранее уже использовала группа MoneyTaker для проведения атак на банки, вредоносные программы, позволяющее однозначно атрибутировать инцидент, IP-адреса, с которых проводилось управление вредоносными программами, а также сам метод проникновения в сеть. Рекомендации по предотвращению подобных атак направлены финансовым организациям — клиентам и партнерам Group-IB, в том числе в ЦБ России. MoneyTaker — преступная группа, специализирующаяся на целевых атаках на финансовые организации, которую раскрыли эксперты Group-IB в декабре прошлого года, опубликовав аналитический отчет: «MoneyTaker: полтора года ниже радаров». Основными целями хакеров в банках являются карточный процессинг и системы межбанковских переводов (АРМ КБР и SWIFT).

Как выяснили специалисты Group-IB, атака на «ПИР Банк» началась в конце мая 2018 года. Предполагаемой точкой входа стало скомпрометированное сетевое устройство (маршрутизатор), стоящее в одном из территориальных подразделений банка. На маршрутизаторе были настроены туннели, позволившие атакующим получить доступ в локальную сеть банка. В Group-IB подчеркнули: такой способ проникновения в сеть является характерным для группы MoneyTaker. Как минимум трижды хакеры уже использовался эту схему при атаках на банки, имеющие региональную филиальную сеть.

Для закрепления в системе банка и автоматизации некоторых этапов атаки хакеры MoneyTaker традиционно используют скрипты на PowerShell. Об этом методе эксперты Group-IB подробно писали в своем декабрьском отчете. Проникнув в основную сеть банка, злоумышленники смогли получить доступ к АРМ КБР (автоматизированному рабочему месту клиента Банка России), сформировать платежные поручения и отправить несколькими траншами деньги «в рейс» на заранее подготовленные счета.

Утром 4 июля, обнаружив многочисленные несанкционированные транзакции в общей сложности на несколько десятков миллионов рублей, сотрудники Банка обратились к регулятору с просьбой о срочной блокировке корреспондентского счета и цифровых ключей электронной подписи (ЭП) АРМ КБР, однако оперативно приостановить все финансовые переводы не удалось. Большая часть украденных средств была переведена на несколько десятков карт крупнейших банков РФ и сразу же обналичена сообщниками хакеров — мулами (money mule), привлекаемыми к финальному этапу вывода денег из банкоматов.

Для затруднения реагирования на инцидент и дальнейшего его расследования, атакующие уничтожали следы пребывания в системе, характерным для MoneyTaker способом: на многочисленных компьютерах происходила очистка системных журналов операционной системы, журналов прикладных систем и удаление системных файлов. Однако криминалисты Group-IB пошагово восстановили все действия и инструменты злоумышленников: запуск сервисов через скрипты PowerShell для получения полного контроля над избранными рабочими станциями и серверами с помощью Meterpreter (Metasploit Framework), распространение по сети с помощью RDP, SMB, Dameware Mini Remote Control и Radmin и так далее.

Кроме этого, хакеры оставили на серверах ряд так называемых реверсшеллов — программ, которые из сети банка подключались к серверам злоумышленников и ожидали новых команд для возможности проведения повторных атак и доступа в сеть. Все это было выявлено сотрудниками Group-IB и удалено администраторами банка.

«
«С начала 2018-го года это далеко не первая успешная атака на российский банк, завершившаяся выводом денег — отметил Валерий Баулин, руководитель лаборатории компьютерной криминалистики Group-IB. — Нам известно, как минимум о трех подобных инцидентах, однако до завершения расследования раскрывать подробности мы не можем. Что касается схем вывода: у каждой группы, специализирующейся на целевых атаках — Cobalt, с и MoneyTaker (они наиболее активны в 2018 году) — схема своя, она зависит от суммы и сценариев обнала, которые есть у хакеров, Нужно понимать, что атаки на АРМ КБР сложны в реализации и проводят их не часто, поскольку успешно „работать на машине с АРМ КБР` умеют далеко не все. Одной из крупнейших атак подобного рода остаётся инцидент образца 2016 года, когда хакеры МoneyTaker вывели порядка 120 млн рублей при помощи самописной одноименной программы».
»

Первая атака MoneyTaker была зафиксирована весной 2016 года, когда из банка США были похищены деньги в результате получения доступа к системе карточного процессинга STAR компании FirstData. После этого хакеры почти на 4 месяца «залегли на дно» и лишь в сентябре 2016 года атаковали банки в России. На этот раз их целью стала АРМ КБР — российская система межбанковских переводов. В целом, за 2016-й год Group-IB зафиксировала 10 атак MoneyTaker в США, в Англии и России. С 2017 года география атак сужается до России и США. В 2018 году мы зафиксировали две атаки MoneyTaker в России.

MoneyTaker имеет свой неповторимый «почерк». Хакеры стараются оставаться незамеченными, используют «одноразовую» инфраструктуру, «бестелесные» программы и тщательно заметают следы своего присутствия. Их отличает уникальный набор инструментов (для закрепления в системе группа использует фреймворк Metasploit и PowerShell Empire).

Очевидно, что MoneyTaker представляет не меньшую угрозу, чем группа Cobalt, названная ЦБ главной угрозой российских банков. В связи с инцидентом в «ПИР Банке» Group-IB предоставила рекомендации службам безопасности финансовых организаций о том, как минимизировать опасность, которую представляет эта группа. Поскольку в большинстве успешных атак MoneyTaker точкой входа являлись маршрутизаторы, необходимо, в первую очередь, проверить их на наличие актуальной прошивки, на возможность перебора паролей и способность оперативно обнаруживать факт изменения конфигурации маршрутизатора.

В декабрьском отчете Group-IB говорилось, что к тому времени на счету MoneyTaker были 16 атак в США, 3 — на банки России и 1 — на ИТ-компанию в Великобритании. В США средний ущерб от одной атаки составлял $500 000. В России средний объем выведенных средств — 72 млн. рублей. Кроме денег, злоумышленники похищают документацию о системах межбанковских платежей, необходимую для подготовки дальнейших атак.

Смотрите также