Спецпроекты

Названы 7 способов обокрасть российский банк через интернет

2151
Безопасность Администратору Стратегия безопасности ИТ в банках

Positive Technologies выявила основные способы кражи денег у финансовых организаций при помощи целевых атак. Чаще всего им помогают сами сотрудники банка, сами того не желая – многие из них кликают по ссылкам из электронных писем, которые могут вести на фишинговые сайты или напрямую на файлы с вредоносным ПО. APT-атаки опасны и тем, что финансовые организации могут потерять не только деньги, но и всю информацию со всех ПК в локальной сети.

APT-атаки как главная угроза для банков

Специалисты исследовательской компании Positive Technologies выявили семь способов проникновения в банковские системы с целью кражи денег. Тактики были обнаружены в результате анализа деятельности APT-группировок, атаковавших финансовые организации в течение последних двух лет.

APT-атака (advanced persistent threat) – это целевая (таргетированная) атака, направленная, как правило, на конкретную организацию или определенную отрасль. Наиболее часто целями и жертвами таких атак становятся финансовые организации. Как отмечает Positive Technologies, подобного рода атаки устраивают, чаще всего, преступные группировки с хорошим финансированием и развитыми техническими возможностями.

Способы обхода средств защиты

Для доставки вредоносных файлов в компьютерные сети жертв APT-группировки чаще всего используют такой метод, как фишинг. Как сообщал CNews, сотрудники 75% российских банков кликают по ссылкам, которые приходят в фишинговых письмах. 2018 г. во всем мире было зафиксировано более 1,9 млн уникальных фишинговых ссылок. Это на 85% больше, чем в 2017 г. Более 26% ссылок нацелены на финансовый сектор.

Топ-5 предполагаемых целей APT-группировок

По оценке Positive Technologies, хакерские группы, осуществляющие APT-атаки на финансовый сектор, в большинстве своем используют вредоносные скрипты (Scripting) различного назначения. Это самый популярный способ обхода систем защиты – к нему прибегают девять из десяти группировок.

На втором по популярности месте находится шифрование вредоносного ПО (Obfuscated Files or Information), чтобы его не могли обнаружить используемые в сети цели средства защиты. Метод используют восемь групп из десяти. Третью строчку занимает метод внедрения вредоносного кода в память легитимного процесса (Process Injection) – шесть хакерских групп из десяти выбирают его.

Четвертое место в рейтинге методов осуществления APT-атак (пять групп из десяти) удерживает маскировка новых сервисов (Masquerading). Оставшиеся два способа популярны у четырех хакерских групп из десяти. Это подпись вредоносного кода цифровым сертификатом (Code signing) и хранение вредоносного ПО на популярных веб-сервисах.

Существует и седьмой метод обхода блокировок. Вредоносное ПО, в том числе и применяемое для APT-атак, все чаще делается модульным, и хакеры помещают в систему лишь один такой модуль, осуществляющий проверку на наличие так называемой «песочницы» - безопасного окружения, в котором любая запущенная программа не в силах нанести вред всей системе. Модуль проверяет, не находится ли он в песочнице или на виртуальной машине (Virtualization/Sandbox Evasion), после чего сообщает о возможности или невозможности загрузки остальных модулей.

Масштабы происходящего

За последние два года, по статистике Positive Technologies, APT-атаки против российских компаний проводили 22 группировки. Только за 2018 г. из общего числа атак, зафиксированных на российские финансовые организации (их было 687, статистика ФинЦЕРТа) 177 были целевыми, то есть APT-атаками.

Статистика ФинЦЕРТ по атакам за 2018 год

Потери финансовых организаций (банков) от действий APT-группировок исчисляются миллионами рублей. так, в 2018 г. всего две группировки, Cobalt и Silence, нанесли им ущерб в размере свыше 58 млн руб. 44 млн руб. пришлись на Cobalt, а 14,4 млн руб. – на Silence. Информация о суммарном размере ущерба, нанесенный всеми APT-группировками за указанный период на момент публикации материала отсутствовала.

Успешно отражать атаки APT-группировок способны лишь 22% российских финансовых организаций. В большинстве компаний финансового сектора используются лишь базовые средства защиты, которых недостаточно для оперативного выявления APT-атак. Согласно исследованию Positive Technologies за 2018 г., в 58% российских банков хакеры могут получить доступ к различным критически важным системам. Речь в первую очередь об управлении банкоматами и системах межбанковских переводов.

Кражей денег все не ограничивается

Основная цель APT-атак на финансовые организации – это кража денежных средств, однако часто хакеры этим не ограничиваются. 40% APT-группировок после достижения поставленной цели выводят из строя компьютеры компании-жертвы при помощи дополнительного ПО из своего арсенала.

Делается это для заметания следов и упрощения дальнейшей деятельности группы. Фактически, злоумышленникам нужно удалить все следы своего пребывания в системе, в том числе и сами вредоносные файлы, чтобы они не попали в руки специалистов информационной безопасности. В противном случае в скором будущем могут появиться сигнатуры их определения при помощи штатных средств защиты, тех же антивирусов.

Хакеры могут удалять и шифровать файлы, уничтожать структуры жестких дисков, что может повлечь за собой потерю компанией важных данных. Подобного рода случаи были зафиксированы – столь радикальными методами заметают следы как минимум группировки Lazarus и RTM, а также упомянутая Cobalt.



Стратегия месяца

Зачем государство ввязалось в гонку технологических вооружений

Михаил Замыцкий

директор по развитию «Ситилинк»

Взгляд месяца

Самая непростая ситуация — с импортозамещением СУБД

Денис Терещенко

заместитель руководителя ФТС