19.02.2019, 14:34
Количество просмотров 131

70% хакерской активности в 2018 году пришлись на банки

Международная компания Group-IB, специализирующаяся на предотвращении кибератак, провела исследование прошлогодних киберинцидентов в финансовой сфере.
70% хакерской активности в 2018 году пришлись на банки

По данным исследования Group-IB, схемы для обналичивания денежных средств хакерами остались прежними: через заранее открытые «под обнал» банковские карты, счета юридических фирм-однодневок, платежные системы, банкоматы и сим-карты. При этом скорость обналичивания в России выросла в несколько раз: если 3 года назад вывод суммы в 200 млн руб., в среднем, занимал около 25-30 часов, то в 2018-м году компания столкнулась с прецедентом, когда такая же сумма была обналичена менее чем за 15 минут единовременно, в разных городах России.

 

Анализируя данные, полученные в рамках реагирований на киберинциденты, эксперты пришли к выводу, что 74% атакованных в 2018 году банков не были готовы к хакерским атакам: более 60% не способны централизованно управлять свой сетью, особенно в территориально распределенной инфраструктуре, около 80% не имеют достаточной глубины журналирования событий протяженностью более месяца, более 65% тратили на согласование работ между подразделениями более 4 часов. При этом среднее количество часов, потраченных на совещания, согласования доступов, регламентные работы в рамках одного реагирования при наступлении инцидента составляло 12 часов.

 

Цепная реакция

 

Исследование Group-IB выявляет не только несогласованность в работе внутренних подразделений и слабую проработку организационных процедур, необходимых для установления источника заражения, масштаба компрометации и локализации инцидента, но и недостаточную техническую подготовку персонала банков. По данным компании, профильные навыки по поиску следов заражения и несанкционированной активности в сети отсутствуют или недостаточны у персонала 70% организаций. Столько же не имеют четких процедур по самостоятельному выявлению компрометации аппаратного и программного обеспечения. Высокие риски несет неготовность технических специалистов к оперативной реакции на инцидент: более 60% пострадавших банков не способны в сжатые сроки провести централизованную единоразовую смену всех паролей, что позволяет хакерам атаковать новые цели изнутри взломанной инфраструктуры банка.

 

«Банк, чья инфраструктура оказалась взломанной, может не просто потерять денежные средства, но и стать угрозой для других игроков финансового рынка, – комментирует ситуацию Валерий Баулин, глава Лаборатории компьютерной криминалистики компании Group-IB, – Атакуя цель, финансово мотивированная хакерская группа стремится извлечь максимальную выгоду: получая контроль над системами банка, она заинтересована не только в выводе денег из него, но и в заражении максимального количества новых жертв. Для этой цели запускается «принцип домино» — вредоносная рассылка из скомпрометированной инфраструктуры идет по спискам компаний-партнеров банка. Такой вектор опасен, прежде всего тем, что письма отправляются из реального банка, то есть отправитель не подделан, что повышает вероятность их открытия в банке-партнере. Таким образом запускается цепная реакция, которая может привести ко множественным заражениям финансовых организаций. В 2018 году мы зафиксировали использование данного вектора как в России, так и в Восточной Европе».

«Двойное дно» кибератаки

 

По данным Group-IB, не менее 17% компаний, в которых проводилось реагирование, подверглись повторной эксплуатации ранее не устраненных уязвимостей в течение года после последнего заражения. В подавляющем большинстве случаев это стало следствием неисполнения рекомендаций по устранению последствий киберинцидента, а также халатности со стороны персонала банков. Кроме того, в течение 2018 года у 29% организаций финансового сектора экспертами Group-IB были обнаружены активные заражения, о существовании которых внутренняя служба информационной безопасности ранее не подозревала. В 52% случаев обнаружены следы совершения атак в прошлом.

 

В 2018-м году командой реагирования Group-IB зафиксированы случаи, когда киберинцидент приводил к созданию резко негативного фона вокруг банка, что провоцировало информационную атаку, репутационные потери, а в отдельных случаях – уход с рынка. «Вокруг банка намеренно или уже по факту создается негативный фон: оценки потенциального ущерба, недопустимо низкий уровень защиты, вероятный отзыв лицензии, — говорит Валерий Баулин. —  Это приводит к оттоку клиентов и партнеров, банк сталкивается с недостаточной капитализацией. Использование кибератаки, как инструмента нанесения урона репутации и вытеснения конкурента с рынка, еще один опасный вектор, который потенциально может получить дальнейшее развитие, так как уровень кибербезопасности небольших банков по-прежнему остается крайне низким».

 

По материалам Group-IB

Рубрика:
{}Безопасность
PLUSworld в соцсетях:
telegram
vk
youtube

ТАКЖЕ ПО ТЕМЕ