Поделиться
Хакерская правка текстовых файлов лишила российские компании 200 млн
Ряд российских организаций лишились сотен миллионов рублей из-за зловреда, который редактировал текстовые файлы для обмена данными между бухгалтерскими и банковскими системами.
Старая тактика
«Лаборатория Касперского» обнаружила новый зловред TwoBee, с помощью которого злоумышленники редактировали текстовые файлы для обмена данными между бухгалтерскими и банковскими системами. В результате несколько российских организаций лишились около 200 млн руб.
Подмену реквизитов в платежных поручениях осуществлял ставший широко известным несколько лет назад банковский троянец Carberp. Однако сейчас эта техника используется довольно редко: в большей части финансовых систем сегодня используются технологии шифрования, исключающие возможность подмены реквизитов.
Тем не менее, как выяснилось, далеко не все организации используют шифрование. Файлы для обмена данными между бухгалтерскими и банковскими системами, которые атаковал TwoBee, не были зашифрованы, и более того, использовали стандартные имена. В результате они стали легкой добычей для злоумышленников.
Пострадал малый и средний бизнес
По данным «Лаборатории Касперского», почти 90% атак пришлось на компании среднего и малого бизнеса, остальные — на госпредприятия и образовательные учреждения. Большинство пострадавших организаций (25%) зафиксировано в Москве. Следом по числу заражений идут Екатеринбург и Краснодар. Единичные случаи заражения TwoBee отмечены в странах Азии (Индии, Казахстане, Китае). Зловред также интенсивно проявил себя в Германии и Франции.
Что касается вектора заражения, то, как отметили эксперты «Касперского», TwoBee устанавливается на компьютеры с помощью других программ, в частности, BuhTrap и RAT-инструмента LiteManager.
Способы защиты
Эксперт «Лаборатории Касперского» Денис Легезо рекомендует использовать шифрование для защиты платежных поручений: это не позволит зловредам менять их содержание. По мнению представителя департамента безопасности Сбербанка Игоря Митюрина, необходимо обязательно сверять номер счета из подтверждающего запроса от банка с номером счета получателя, указанного в бухгалтерской системе, а также ограничить доступ в интернет с тех устройств, на которых установлены системы дистанционного банковского обслуживания и бухгалтерские системы.
Представитель «1С» Алексей Харитонов, в свою очередь, указывает, что актуальные версии учетных программ его компании проверяют, не был ли файл обмена модифицирован зловредом после загрузки данных в программу банка (но до отправки платежей на исполнение). По мнению Харитонова, наиболее надежный вариант — использовать сервисы прямого обмена с банками, например, по технологии DirectBank
«Любое слабое место в безопасности будет рано или поздно использовано злоумышленниками, — комментирует Ксения Шилак, директор по продажам Sec Consult Rus. — Обмен данными, имеющими повышенную значимость, будь то персональная или платежная информация, следует осуществлять исключительно по защищенным каналам в шифрованном виде. Компенсация потерь от вредоносного ПО скорее всего обойдется во много раз дороже, чем внедрение технологий, страхующих от подобных инцидентов».
Поделиться
Короткая ссылка
