Более 70% банков не готовы противостоять кибератакам

03 Апреля 10:00

Group-IB, международная компания, специализирующаяся на предотвращении кибератак, провела исследование высокотехнологичных киберпреступлений, основанное на анализе проведенных ее специалистами реагирований на инциденты информационной безопасности (Incident Response) в 2018-м году. Основной целью хакеров традиционно стал финансовый сектор, при этом 74% пострадавших банков оказались не готовы к кибератакам, у 29% были обнаружены активные заражения вредоносными программами, а в 52% случаев выявлены следы совершения атак в прошлом.

Опасными тенденциями в финансовом секторе эксперты называют заказные информационные атаки, отправной точкой которых является киберинцидент, а также трансграничные атаки, реализующие «принцип домино», когда скомпрометированная инфраструктура банка-жертвы используется для атаки на другой банк, а тот, в свою очередь, на следующий и так далее. 

Основываясь на собственных данных, команда реагирования Лаборатории компьютерной криминалистики Group-IB исследовала киберинциденты, произошедшие на территории России за 2018-й год. Общее количество реагирований Group-IB выросло более чем в 2 раза относительно 2017 года. Перечень основных угроз, с которыми сталкивались пострадавшие компании, возглавляют целевые атаки, конкурентный шпионаж, атаки с помощью вирусов-шифровальщиков, криптомайнинг. 
Главный вывод экспертов-криминалистов Group-IB - подавляющее большинство российских компаний, ставших жертвами хакерских атак в прошлом году, не имели плана реагирования на киберинцидент, не были готовы в сжатые сроки мобилизовать работу профильных подразделений, персонал которых, в свою очередь, зачастую не способен организационно и технически противостоять действиям атакующих. Эксперты Group-IB обращают внимание на высокую вероятность повторных инцидентов в таких компаниях: они могут пострадать как от действий той же хакерской группы, так и от новой, которой были проданы данные для доступа в атакованную систему. 

Слабое звено: банки не готовы отразить кибератаку

По данным исследования инцидентов, на банки пришлось около 70% хакерской активности в прошлом году. Схемы для обналичивания денежных средств хакерами остаются прежними. Деньги выводятся через заранее открытые «под обнал» банковские карты, счета юридических фирм-однодневок, платежные системы, банкоматы и сим-карты. При этом скорость обналичивания в России выросла в несколько раз: если 3 года назад обналичка суммы в 200 млн руб., в среднем, занимала около 25-30 часов, то в 2018-м году компания столкнулась с прецедентом, когда такая же сумма была обналичена менее чем за 15 минут единовременно, в разных городах России. 

Анализ данных, полученных Group-IB в ходе мероприятий по реагированию на инциденты информационной безопасности, выявил, что более 74% атакованных в 2018 году банков не были готовы к кибератакам. При этом более 62% не способны централизованно управлять своей сетью (особенно в территориально распределенной инфраструктуре), что критично для скорости локализации инцидента и минимизации ущерба. 80% пострадавших от действий хакеров финансовых организаций не имеют достаточной глубины журналирования событий протяженностью более месяца. Это затрудняет или делает невозможным восстановление ретроспективы атаки с этапа заражения до момента вывода денежных средств. 
Несогласованность в работе внутренних подразделений - дополнительный фактор, играющий на руку атакующим: более 64% финансовых организаций, в которых работала команда по реагированию Group-IB, тратили на согласование работ между подразделениями более 4 часов, тогда как для оперативной работы «по горячим следам» этот период не должен превышать 1 часа. При этом среднее количество часов, потраченных на совещания, согласования доступов, регламентные работы в рамках одного реагирования при наступлении инцидента составляло 12часов.

Цепная реакция: как происходят трансграничные атаки

Исследование Group-IB выявляет не только слабую проработку организационных процедур, необходимых для установления источника заражения, масштаба компрометации и локализации инцидента, но и недостаточную техническую подготовку персонала банков. По данным компании, профильные навыки по поиску следов заражения и несанкционированной активности в сети отсутствуют или недостаточны у персонала 70% организаций. Столько же не имеют четких процедур по самостоятельному выявлению компрометации аппаратного и программного обеспечения. Высокие риски несет неготовность технических специалистов к оперативной реакции на инцидент: по данным Group-IB, более 60% банков не способны в сжатые сроки провести централизованную единоразовую смену всех паролей, что позволяет хакерам атаковать новые цели изнутри взломанной инфраструктуры банка.

«Банк, чья инфраструктура оказалась взломанной, может не просто потерять денежные средства, но и стать угрозой для других игроков финансового рынка. Атакуя цель, финансово мотивированная хакерская группа всегда стремится извлечь максимальную выгоду: получая контроль над системами банка, она заинтересована не только в выводе денег из него, но и в заражении максимального количества новых жертв. Для этой цели запускается «принцип домино» - вредоносная рассылка из скомпрометированной инфраструктуры идет по спискам компаний-партнеров банка. Такой вектор опасен, прежде всего тем, что письма отправляются из реального банка, то есть отправитель не подделан, что повышает вероятность их открытия в банке-партнере. Таким образом запускается цепная реакция, которая может привести ко множественным заражениям финансовых организаций. В 2018 году мы зафиксировали использование данного вектора как в России, так и в Восточной Европе».

Двойная порция

Ситуацию осложняет инертность служб информационной безопасности и IТ-отделов атакованных банков в устранении последствий и отработке инцидента уже после завершения основных работ команды реагирования. Как правило, банк получает рекомендации по дальнейшей локализации и отработке инцидента соответствующими подразделениями. Исполнение рекомендаций может занимать продолжительное время и зависит от размера инфраструктуры, степени и глубины компрометации сети банка, готовности IТ\ИБ команды к выполнению данных задач, необходимости внедрения новых средств защиты, а также внесения корректировок в процессы управления и инвентаризации сети.
По данным Group-IB, не менее 17% компаний, в которых проводилось реагирование, подверглись повторной эксплуатации ранее не устраненных уязвимостей в течение года после последнего заражения. В подавляющем большинстве случаев это стало следствием неисполнения рекомендаций, а также халатности со стороны персонала банка. Кроме того, в течение 2018 года у 29% организаций финансового сектора экспертами Group-IB были обнаружены активные заражения, о существовании которых внутренняя служба информационной безопасности ранее не подозревала. В 52% случаев обнаружены следы совершения атак в прошлом. 

Кибератаку заказывали?

В 2018-м году командой реагирования Group-IB зафиксированы случаи, когда кибератака была организована в целях создания резкого негативного фона вокруг банка, провоцирующего вытеснение, а затем его уход с рынка.

«Вокруг банка намеренно или уже по факту создается негативный фон: оценки потенциального ущерба, недопустимо низкий уровень защиты, вероятный отзыв лицензии… Это приводит к оттоку клиентов и партнеров, банк сталкивается с недостаточной капитализацией. Использование кибератаки как инструмента нанесения урона репутации и вытеснения конкурента с рынка, еще один опасный вектор, который потенциально может получить дальнейшее развитие, так как уровень кибербезопасности небольших банков по-прежнему остается крайне низким», - отметил руководитель лаборатории компьютерной криминалистики компании Group-IB Валерий Баулин.

Журнал «Банковские технологии», №2, 2019

 

вернуться назад

События

Новости

Корпоративные новости