Сложных атак на банки становится все больше
Согласно данным ФинЦЕРТ, ущерб российских организаций кредитно-финансовой сферы от атак группы Cobalt в 2018 г. составил не менее 44 млн руб., а от атак группы Silence - не менее 14,4 млн руб. Всего за год ФинЦЕРТ получил сведения о 590 атаках на кредитно-финансовые организации, в том числе о 177 целевых атаках.
Такие данные приводят специалисты ФинЦЕРТ Банка России, а также ряда российских компаний, специализирующихся на информационной безопасности, таких как Positive Technologies, Group-IB и Solar JSOC, представив сводные данные по основным типам компьютерных атак в кредитно-финансовой сфере за 2018 г.
В отчете также отмечается, что, несмотря на общий рост числа атак в 2018 г., финансовый ущерб значительно снизился по сравнению с предыдущим годом. "Этому во многом способствует информационный обмен внутри отрасли, в частности запуск автоматизированной системы обработки инцидентов (АСОИ) ФинЦЕРТ", - указывается в отчете.
Вместе с тем, согласно отчету, три четверти банков сегодня уязвимы для атак методами социальной инженерии. "В 75% банков сотрудники переходят по ссылкам, указываемым в фишинговых письмах, в 25% - вводят свои учетные данные в ложную форму аутентификации; также в 25% финансовых организаций хотя бы один сотрудник запускает на своем рабочем компьютере вредоносное вложение. При этом фишинг на этапе проникновения используют девять из десяти APT-группировок", - сообщается в отчете.
Помимо того, как указывается в отчете, далека от совершенства сегодня безопасность внутренней сети банков. "Наиболее частые проблемы в конфигурации серверов - несвоевременное обновление ПО (67% банков) и хранение чувствительных данных в открытом виде (58%). Более чем в половине обследованных банков используются словарные пароли. Специалистам Positive Technologies при проведении тестов на проникновение доступ к управлению банкоматами из внутренней сети удалось получить в 25% банков", - заявляется в отчете.
Авторы отчета также отмечают, что низким остается уровень защищенности мобильных приложений. "Уязвимости высокого уровня риска обнаружены в 38% приложений для iOS и в 43% приложений для платформ под управлением Android. В 76% мобильных приложений выявлено небезопасное хранение данных, которое может привести к утечкам паролей, финансовой информации и персональных данных пользователей", - сообщается в отчете.
Кроме того, в документе отмечается оперативность APT-группировок, которые быстро применяют новые возможности в своей деятельности. "Так, группа Cobalt провела вредоносную рассылку через 34 часа с момента публикации информации об уязвимости нулевого дня CVE-2018-15982. Всего эта группировка за 2018 г. выполнила 61 рассылку по кредитно-финансовым организациям в России и странах СНГ. Другая APT-группа - RTM, на счету которой 59 рассылок в 2018 г., использовала в качестве одного из центров управления домены в защищенной от цензуры децентрализованной зоне .bit. Однако особенности архитектуры блокчейна сыграли против злоумышленников. Специалисты PT Expert Security Center разработали алгоритм отслеживания регистрации новых доменов группировки RTM (или смены их IP-адресов), что позволяет уведомлять банки о новых управляющих серверах через несколько минут после начала их использования злоумышленниками (а иногда и до вредоносной рассылки)", - информируют авторы отчета.
Заместитель генерального директора компании Positive Technologies Борис Симис о ситуации с информационной безопасностью в финансово-кредитной сфере сказал следующее: "Несмотря на то что система информационного обмена ФинЦЕРТ позволила снизить суммы потерь банков, опасность целевых атак по-прежнему высока. APT-группировки постоянно совершенствуют техники атак, улучшают качество рассылок, следят за публикацией уязвимостей, приобретают уязвимости нулевого дня и вводят их в свой арсенал за считаные часы. Кредитно-финансовым организациям сегодня нельзя больше ставить во главу угла традиционное возведение защитных барьеров. Ситуация изменилась: преступники научились обходить антивирусы, песочницы, системы IDS. Банкам следует исходить из того, что гипотетический злоумышленник уже находится внутри их периметра; главная задача - максимально сократить время его присутствия в инфраструктуре и лишить возможности действовать".
В пресс-службе компании "Ростелеком-Solar" корреспонденту ComNews сообщили некоторые данные исследования кибератак на российские банки и уровня защищенности организаций финансово-кредитной сферы в 2018г. - начале 2019 г. Solar JSOC, являющегося частью отчета ФинЦЕРТ Банка России.
"Всего за 2018 г. Solar JSOC зафиксировал в кредитно-финансовых организациях свыше 120 тыс. компьютерных атак. Доля критичных инцидентов - то есть таких, которые способны привести к остановке деятельности или потерям на сумму свыше 1 млн руб., - составила до 19%. Во второй половине года количество атак, направленных на получение контроля над инфраструктурой, выросло на 50%, количество атак, направленных на кражу денежных средств, - на 60%. Аналитики Solar JSOC прогнозируют дальнейший рост таких атак на финансово-кредитный сектор, подчеркивая, что в 2019 г. количество попыток вывода денежных средств из банков может вырасти в два раза", - указывается в исследовании.
При этом директор центра мониторинга и реагирования на кибератаки Solar JSOC компании "Ростелеком- Solar" Владимир Дрюков обращает внимание, что банковская инфраструктура сегодня остается одной из самых защищенных, но и самых привлекательных для киберпреступников - за счет большого числа способов быстрой монетизации взлома. "Поэтому злоумышленники с одинаковой интенсивностью развивают и совершенствуют все возможные методы атак: от проникновения в защищаемый периметр и взлома веб-сервисов до изощренной социальной инженерии в отношении сотрудников банка", - отмечает Владимир Дрюков.
Большие опасения, как указывается в исследовании Solar JSOC, вызывает безопасность систем дистанционного банковского обслуживания в России. "В рамках проектов по анализу защищенности группа пентеста Solar JSOC обнаруживала уязвимость класса IDOR (insufficient direct object references) в каждом четвертом банковском мобильном приложении. Проэксплуатировав такую уязвимость, злоумышленник может узнать номер счета клиента и остаток средств на нем, а также перевести деньги на сторонний счет, минуя этап ввода одноразового пароля. Уязвимости класса XSS (cross-site-scripting), позволяющие атаковать компьютеры или мобильные устройства клиентов банка, обнаруживаются практически в каждом приложении", - сообщается в исследовании.
В нем также указывается: "Однако основную опасность представляет "социальный" вектор киберугроз. По данным Solar JSOC, 68% сложных целенаправленных атак на банки начинаются с рассылки фишинговых писем по сотрудникам. Эффективность фишинга в отношении банковского сектора выше средних значений по рынку: в среднем каждый 6-й пользователь, не прошедший курсы повышения осведомленности, поддается на социальную инженерию. Во многом это связано с тем, что вредоносные рассылки, ориентированные на банки, обычно лучше подготовлены и продуманны. Они примерно на 60% чаще включают персонификацию - обращение к жертве по имени, упоминание реальных рабочих обязанностей сотрудника и т.п. Это повышает уровень доверия к письму, а с ним и вероятность, что сообщение будет открыто".
В первой половине 2018 г., как отмечается в исследовании, через фишинговые письма, как правило, распространялся троян Dimnie. "Во втором полугодии он уступил место вредоносному ПО под названием RTM, созданному непосредственно для атак на российский финансовый сектор. Анализ образцов RTM начала 2019 г. показывает, что троян уже был несколько раз модифицирован злоумышленниками с целью предотвращения его обнаружения и повышения надежности работы", - рассказывается в исследовании.
Авторы исследования также отмечают, что усовершенствования уже известного хакерского инструментария, выводящие его на новый уровень эффективности, можно назвать трендом. "Во второй половине 2018 г. аналитики Solar JSOC регулярно сталкивались с вредоносным ПО, оптимизированным для обхода средств защиты, в том числе антивирусов и песочниц. Уровень проработки фишинговых писем также заметно повысился. Если раньше получатель мог обратить внимание на ошибки или непривычные формулировки, то теперь письма все труднее отличить от привычных рассылок о промоакциях или приглашений на предстоящие мероприятия для организаций финансово-кредитного сектора", - указывается в исследовании.
При этом авторы исследования обращают внимание, что, несмотря на активную борьбу с массовыми атаками в 2017-2018 гг., темпы устранения уязвимостей в кредитно-финансовой сфере остаются невысокими. "Среднее время от выхода патча до полного закрытия критичной уязвимости в банках составляет около 42 дней. Это дает злоумышленникам достаточно времени, чтобы не только разработать эксплойт, но и провести несколько атак до того, как уязвимость будет закрыта", - заявляется в исследовании.
В пресс-службе Group-IB с корреспондентом ComNews поделились рядом данных Центра реагирования на инциденты кибербезопасности CERT-GIB. "Российская доменная зона, по итогам 2018 г., достигла рекордных показателей по снижению объема токсичных сайтов. При росте на 30% в 2018 г. числа потенциально опасных ресурсов, содержащих фишинг или вредоносное программное обеспечение (ВПО), на долю Рунета пришлось менее 20% таких сайтов, тогда как в 2017 г. доля токсичных ресурсов в зоне РУ составляла почти 50% среди всех заблокированных специалистами CERT-GIB. Кроме того, специалисты отмечают, что фишинг становится более дешевым и изощренным, но злоумышленники постепенно уходят из РУ. Пользователи по-прежнему открывают вредоносные exe-файлы, а HTTPS - больше не синоним безопасности". - указывают в центре CERT-GIB.
При этом в центре добавляют: "Интересно, что несмотря на 30%-ное увеличение количества опасных веб-сайтов, содержащих фишинг или вредоносное ПО, обнаруженных и заблокированных CERT-GIB (c 4264 веб-сайтов в 2017 г. до 6217 в 2018 г.), использование доменов в зоне РУ стало менее привлекательным для злоумышленников: количество опасных доменов, заблокированных CERT-GIB в Рунете, уменьшилось на 40% по сравнению с 2017 г. Злоумышленники все чаще отдают предпочтение зоне .com: количество токсичных ресурсов там увеличилось почти в три раза в 2018 г. Также злоумышленники стали чаще выбирать новые домены верхнего уровня New gTLD (.online; .website; .space и т.д.)".
Такой тренд, как заявляют в CERT-GIB, объясняется в том числе активной работой команд по мониторингу и реагированию на компьютерные инциденты и усилиями Координационного центра доменов .RU/.РФ по созданию благоприятных условий для работы компетентных организаций. "Благодаря расширению международной партнерской сети и автоматизации процессов обнаружения вредоносного контента, среднее время от момента реагирования CERT-GIB до нейтрализации вредоносного контента сократилось на 20% в 2018 г. по сравнению с прошлым годом", - отмечают в CERT-GIB.
Общее количество фишинговых ресурсов, располагающихся в различных доменных зонах, включая РУ, выявленных и заблокированных CERT-GIB в 2018 г., как указывают в CERT-GIB, увеличилось на 44% по сравнению с 2017 г. "Каждый квартал в среднем рост составлял 15%. Так, в 2018 г. в рамках работы CERT-GIB приостановлена деятельность 4,5 тыс. сайтов, использующихся в целях фишинга, - сообщают в CERT-GIB. - Однако только 10% из этого количества пришлось на домены в российской зоне - 458, в то время как в 2017 г. на их долю приходилось 27%. Количество ресурсов, распространяющих или управляющих вредоносным ПО в российской зоне в 2018 г. также сократилось на 44% по сравнению с 2017 г. Общее же количество таких ресурсов, выявленных и заблокированных CERT-GIB, осталось на уровне 2017 г. - 1736 веб-ресурсов в 2017 г. и 1723 сайта в 2018 г. соответственно".
Электронная почта, как указывают в CERT-GIB, окончательно утвердилась в статусе самого популярного способа доставки вредоносного программного обеспечения (ВПО) в 2018 г. "Соотношение доставки ВПО по email и загрузки через веб-браузер на протяжении 2018 г. оставалось на уровне 12 к 1. При этом во второй половине 2018 г. доля загрузок вредоносного ПО посредством веб-браузера сократилась до исторического минимума и составила порядка 3%", - сообщают в CERT-GIB, добавляя, что одной из ключевых тенденцией 2018 г. стало использование публичных почтовых сервисов для отправки писем, содержащих ВПО. "Так, в топ-5 наиболее активно использовавшихся злоумышленниками почтовых доменов вошли популярные в России mail.ru, yandex.ru и gmail.com. Для сравнения, в 2017 г. лишь один публичный почтовый сервис (mail.ru) входил в эту пятерку, остальные четыре - домены, зарегистрированные специально под вредоносные рассылки или просто поддельные адреса. Тенденция объясняется просто: с одной стороны, авторы фишинговых рассылок стремятся использовать максимально доверенные адреса - те, с которых пользователи привыкли получать электронную почту. С другой - такой способ рассылки значительно дешевле: нет необходимости регистрировать почтовый домен, можно пользоваться готовой инфраструктурой, а в случае обнаружения одним почтовым сервисом подозрительной активности без потерь "переехать" на другой", - рассказывают в CERT-GIB.
В центре также делятся подробностями отправки злоумышленниками писем, содержащих ВПО: "Как и в 2017 г., в прошлом году в подавляющем большинстве случаев (82%) злоумышленники предпочитали доставлять ВПО во вложении к письму. Количество фактов использования URL-ссылок в письмах, ведущих на загрузку вредоносного ПО, в 2018 г. увеличилось не значительно - на 10%. Любимым форматом упаковки ВПО в 2018 г. у злоумышленников стали архивы. На протяжении всего 2018 г. в архивах доставлялось больше половины всех вредоносных объектов. Наибольшей популярностью пользовались ZIP-архивы, для распаковки которых, как правило, не требуется отдельное ПО. На них приходилось 20% всех вредоносных файлов, проанализированных в рамках работы CERT-GIB. Вызывает удивление, что в 2018 г. по-прежнему популярными среди злоумышленников были файлы с расширением .exe, несмотря на то что данный исполняемый формат уже должен был выработать у пользователей интернета осторожность работы с ним. На долю доставляемого ВПО при помощи .exe-файлов пришлось 12% всех проанализированных вредоносных объектов".
В целях обхода традиционных систем обнаружения вредоносных рассылок, как указывают в CERT-GIB, злоумышленники идут на различные ухищрения, одним из которых является рассылка ВПО в архивах, требующих пароля для расшифровки содержимого. "CERT-GIB фиксирует десятикратный рост количества таких архивов: в 2017 г. на архивы с паролем приходилось лишь 0,08% от общего количества вредоносных объектов, а в 2018 г. их количество подросло до 0,9%. В простых схемах атак пароль, как правило, указывается в письме с вредоносным вложением. Многоэтапные атаки с использованием социальной инженерии, используют выдачу пароля на этапе входа в коммуникацию с пользователем, для создания доверительных отношений, цель которых - заставить жертву открыть архив с вредоносным ПО", - информируют в CERT-GIB, добавляя, что другим известным методом обхода традиционных систем обнаружения является отправка вредоносных ссылок с отложенной активацией. "На протяжении 2018 г. CERT-GIB фиксировал незначительно отличающие сценарии таргетированных атак, когда письма доставлялись адресатам в нерабочее время, и на момент антивирусной проверки ссылка из письма была недоступна, благодаря чему вредоносное письмо успешно доставлялось. Злоумышленники активировали вредоносную ссылку исключительно в рабочее время жертвы, когда антивирусный сканер уже "разрешил" доставку письма", - сообщают в CERT-GIB.
При этом заместитель руководителя CERT-GIB Ярослав Каргалев замечает, что все больше киберпреступников располагают инструментами, позволяющими убедиться, что рассылаемый экземпляр не детектируется популярными традиционными антивирусными средствами. "Но класс защиты, основанный на поведенческом анализе, позволяет детектировать поведение ранее неизвестных экземпляров вредоносного ПО и заблокировать подозрительную активность, которую может пропустить антивирус", - отмечает Ярослав Каргалев.