Вирусная атака на банки сегодня

Обновлено: 27.03.2024

ЦБ зафиксировал хакерскую атаку на российские банки с использованием вируса-шифровальщика BadRabbit. В регуляторе отметили, что ресурсы финансовых организаций при попытке взлома не пострадали. По данным экспертов, занимающихся расследованием киберпреступлений, BadRabbit пытался взломать банки из топ-20. Специалисты установили связь между BadRabbit и шифровальщиком NotPetya, который в июне атаковал объекты на Украине. Ранее вирусу удалось проникнуть в системы ряда российских СМИ. Однако, по словам министра связи Николая Никифорова, кибератака не была целенаправленной.

Банк также предупредил о возможных попытках распространения хакерами вредоносного программного обеспечения, в том числе предназначенного для скрытного шифрования файлов.

Банки из топ-20

Вирус BadRabbit попытался атаковать российские банки из первой двадцатки, утверждают специалисты. По словам Ильи Сачкова, гендиректора компании Group-IB, которая занимается расследованием киберпреступлений, эксперты зафиксировали попытки заражения вирусом инфраструктур ряда российских банков, которые используют систему обнаружения вторжений, разработанную компанией.

Специалисты подчёркивают, что среди них были банки из топ-20, однако какие именно, не уточняется.

Он отметил, что эта ситуация показала, что банки используют более качественную защиту от кибератак по сравнению с компаниями небанковского сектора.

Как сообщается на странице Group-IB в Twitter, попытки кибератак со стороны вируса BadRabbit зафиксировала их система TDS Polygon.

Связь с NotPetya

Эксперты говорят о связи между BadRabbit и вирусом-шифровальщиком NotPetya, в июне 2017 года атаковавшим объекты на Украине.

По информации компании, в атаке NotPetya содержались схожие алгоритмы.

Специалисты отметили, что с доменным именем связано множество других вредоносных доменов, первое проявление активности которых относится к 2011 году.

Около 200 кибератак

Распространение вируса, по данным компании, происходило через заражённые СМИ.

Министр связи и массовых коммуникаций РФ Николай Никифоров считает, что российские СМИ не были целью хакеров. По его словам, атакам подверглись объекты с недостаточным уровнем безопасности.

Министр призвал не драматизировать ситуацию.

Утром 25 октября первый заместитель генерального директора Интерфакса Алексей Горшков сообщил о частичном восстановлении работы сервисов агентства.

BadRabbit на Украине

О взломе своих серверов сообщили и в руководстве метрополитена в Киеве и аэропорта в Одессе.

Позднее в Службе безопасности Украины (СБУ) заявили о блокировании дальнейшего распространения вируса BadRabbit в стране.

По данным украинского ведомства, доставка вируса осуществлялась с использованием фишинговых писем электронной почты с обратным адресом, который ассоциируется со службой технической поддержки компании Microsoft.

За десять дней в сентябре эксперты зафиксировали более 70 хакерских атак на финансовые организации. За весь предыдущий месяц было выявлено 150 инцидентов. ЦБ подтвердил, что осенью число DDoS-атак выросло, но их удалось отразить

По словам экспертов, самая мощная атака велась с интенсивностью 45 Гбит/с. В докладе ФинЦЕРТа (Центра мониторинга и реагирования на компьютерные атаки Цетробанка) по итогам 2020 года отмечалось, что самая мощная атака в 2019–2020-м велась с интенсивностью 49 Гбит/с.

Фото:Nicolas Maeterlinck / ZUMA / ТАСС

Фото:Андрей Гордеев / Ведомости / ТАСС

Фото: Tim Boyle / Getty Images

Вы переехали за рубеж. О каких законах своей страны не надо забывать

Фото: Aleksandar Pasaric / Pexels

Почему России трудно больше продавать в Китае

Фото: Junko Kimura / Getty Images

Как Toyota следовала своей философии во времена Великой рецессии

Фото: Екатерина Кузьмина / РБК

Зачем власти собираются лишить иностранные ценные бумаги налоговых льгот

Разворот на 180 градусов: чем и с кем Россия будет торговать теперь

Фото: Shutterstock

В кризис так нельзя: пять способов пустить продажи под откос

Фото: Zuma \ TASS

Переждать не получится: как за два-три года изменится российский бизнес

Хакеры из группировки TinyScouts отправляют письма в банки с предупреждением о второй волне COVID-19. Сотрудникам финучреждений также предлагается дать интервью — злоумышленники маскируются под журналистов, в том числе из РБК

О новой хакерской группировке знает и руководитель отдела динамического анализа вредоносного кода компании Group-IB Рустам Миркасымов. По его словам, первые атаки на банки произошли в апреле, группировку в Group-IB называют oldgremlin, а вирусную программу, с помощью которой действуют злоумышленники, — TinyPosh.

Лиам Фокс

Как происходит атака

В России двузначная инфляция. Какие активы могут от нее застраховать

Фото: Unsplash

Какие детские травмы мешают нам приспособиться к переменам

Вопрос на $3 трлн: почему ведущие страны мира легализуют криптовалюты

Фото: Tim Boyle / Getty Images

Вы переехали за рубеж. О каких законах своей страны не надо забывать

Фото: Sean Gallup / Getty Images

Удешевление и путь на Восток: как санкции изменят пищевую промышленность

Фото: Петр Ковалев / ТАСС

Нужен диалог: как производителям продуктов реагировать на санкции

Что такое фишинг

По данным Solar JSOC, в среднем примерно в 70% случаев именно фишинг считается первым этапом сложной целенаправленной атаки. Количество заблокированных Group-IB фишинговых ресурсов во втором квартале 2020 года увеличилось на 71% по сравнению с тем же периодом 2019-го, рассказали в компании.

Если же зараженный компьютер интересен злоумышленникам и может служить их дальнейшим целям, скачивается дополнительное ПО, защищенное несколькими слоями обфускации (ПО для запутывания кода) и шифрования, которое обеспечивает членам кибергруппировки удаленный доступ и полный контроль над зараженной рабочей станцией.

Сколько именно компаний пострадало в рамках атаки, в Solar JSOC и Group-IB не раскрывают.

Кем притворяются хакеры

Самой примечательной была атака якобы от имени журналиста РБК, вспоминает Рустам Миркасымов

Предупреждение

На что могут рассчитывать пострадавшие компании

Фото:Joe Raedle / Getty Images

Фото: Shutterstock

За последний год злоумышленники стали чаще и успешнее атаковать российские банки. Почему это происходит и как снизить количество DDoS-атак?

DDoS-атака — это хакерская атака на вычислительную систему компании. С помощью подобной атаки злоумышленники создают такие условия, при которых пользователи системы или сайта не смогут получить к ним доступ, либо этот доступ затрудняется. Простыми словами: если DDoS-атака успешна, то компания не может работать в обычном режиме, а ее пользователи — получать услуги, работа приостанавливается.

Фото:Unsplash

Как росло количество атак

Пик атак случился в выходные, поскольку предполагается, что в эти дни большинство людей отдыхают, системы наименее защищены, и есть шанс добиться результата, предполагают специалисты Qrator Labs.

Фото:Pexels

Мошенников привлекают банки

Кроме того, кибератаки и, в частности, DDoS-атаки, все больше становятся доступными для злоумышленников без технических навыков, что в целом увеличивает количество преступников, применяющих данные виды атак, добавляет Рыжков.

Он также отмечает рост количества инцидентов, когда организации соглашаются с требованиями мошенников, поскольку промедление по времени может стать для них критичным. По мнению эксперта, это также провоцирует злоумышленников совершать новые атаки.

Как защититься от DDoS-атак

Как объясняет Рыжков, финансовый сектор имеет ряд ограничений, препятствующих защите от такого рода атак: так, банк не имеет права раскрывать финансовую тайну, поэтому весь банковский трафик зашифрован и не может быть дешифрован на стороне провайдера Anti-DDoS системы, поскольку это идет вразрез с их политиками безопасности и может грозить отзывом лицензии. Но такие ограничения есть не у всех — некоторые решения в области кибербезопасности могут анализировать даже шифрованный трафик и определять DDoS-атаку по множеству признаков. Они помогают финансовым организациям успешно защищаться.

Директор департамента информационной безопасности МКБ Вячеслав Касимов рассказал, что банк противостоит подобным атакам с помощью специализированных сервисов по очистке трафика, которые показали высокую эффективность: компании удается отражать все атаки такого типа.

Фото:Shutterstock

Подобный аутсорсинг услуг в сфере кибербезопасности — один из трендов, наметившихся в 2020 году, отмечают специалисты Accenture. Аутсорсинг дешевле и экономит трудозатраты на поиски штатных сотрудников. При этом некоторые направления информационной безопасности требуют глубоких компетенций, которые способна развивать не каждая компания на рынке.

Методы защиты от DDoS-атак достаточно стандартны и универсальны. Необходимо отделять веб-приложения от остальных ресурсов организации — размещать их в разных дата-центрах, советует Валов. При этом подключение к площадкам должно осуществляться разными операторами связи: в случае DDoS-атаки это обеспечит отказоустойчивость инфраструктуры. Также нужно выбирать надежного провайдера, который способен фильтровать мощные DDoS-атаки объемом несколько Тбит/c.

Фото:Shutterstock

Денис Бурлаков, генеральный директор финтех-компании RBK.money и фаундер IT-компании Osnova

Принцип работы вымогателей, распространяющих вирусы этого типа, прост. На компьютер компании или учреждения попадает троян, который получает доступ к файлам на жестком диске и шифрует информацию, делая ее недоступной пользователю. После чего злоумышленники требуют выкуп за расшифровку данных, а иногда и за то, чтобы не слить их в публичное поле.

Компания Group-IB в конце 2020 года оценивала ущерб от вирусов-шифровальщиков во всем мире в 1 млрд долларов в год. По факту ущерб может быть еще больше, потому что пострадавшие компании, мягко говоря, не стремятся афишировать подробности своих промахов.

Разработка вирусов-шифровальщиков поставлена на поток — сейчас это целая индустрия. Вирусы становятся мультиплатформенными — недавно появились вирусы для Linux, а эта операционная система, к слову, активно используется в электронике. Еще в даркнете существует такая услуга, как покупка шифровальщика. Злоумышленники приобретают у разработчиков вредоносное ПО и после успешной атаки и последующей дешифровки делятся с ними полученными от пострадавшей компании деньгами.

В целом обеспокоенность Банка России, даже с учетом того, что в 2019—2020 годах атаки не нанесли ущерба российскому банковскому сектору, объяснима. А если учесть, что сейчас многие компании развиваются по модели финансовых групп и экосистем, пристальное внимание регулятора к теме кибербезопасности становится вполне закономерным.

Точки уязвимости

В финансовых организациях и банковских группах существует несколько потенциально проблемных мест, которые могут стать объектами атаки со стороны злоумышленников. Первая — сами компании, входящие в группу. Часто это различные онлайн- и офлайн-сервисы из других, нефинансовых отраслей. У каждой из таких компаний свои подходы к обеспечению кибербезопасности, при этом все они взаимодействуют между собой через общую информационную систему. Чем больше количество интеграций, тем выше риски — через системы компаний, входящих в группу, злоумышленники могут получить доступ к системам головной компании. Если говорить про банковские экосистемы, то к системам головного банка группы.

Вторая проблемная точка — подрядные организации, которые выполняют некие работы для банка или для одной из компаний группы. Здесь ситуация аналогичная: многие подрядчики взаимодействуют с компаниями по удаленным каналам, единые стандарты кибербезопасности на них распространить сложнее, чем на компании экосистемы, поэтому здесь тоже возникает потенциальный риск атаки.

Третья и, наверное, самая сложно контролируемая точка риска — это сотрудники центральной компании финансовой группы плюс сотрудники всех других компаний группы, а также подрядчиков. Хакеры пишут вирусы, придумывают новые лазейки, у них появляются новые технические возможности, но человеческий фактор по-прежнему остается в топе потенциальных уязвимостей. Особенно остро стоит этот вопрос сейчас, когда многие компании перевели сотрудников на полную или частичную удаленную работу. Рядовой пользователь может не соблюдать политики безопасности, использовать рабочий компьютер или смартфон для личных целей, заходить с него на неслужебные ресурсы, открывать сомнительные письма и т. д. Или, например, упомянуть в соцсетях, что работает в крупной финансовой компании, и тем самым дать повод злоумышленникам выбрать его компьютер как потенциальный канал атаки.

Как защититься

В периоды активного роста финансовой группы и появления новых компаний в ее периметре необходимо прогонять все интеграции между компаниями через специалистов по инфобезопасности, чтобы они дали свое заключение и помогли разработчикам защитить слабые места. Важно, чтобы все компании группы были одинаково защищены и соблюдали единые стандарты кибербезопасности, потому что степень защищенности всегда измеряется по самому слабому звену в цепочке. То же самое относится и к интеграциям с подрядчиками. В крупных компаниях этот момент иногда становится формальной процедурой — современный рынок диктует высокую скорость принятия решений, и информационная безопасность может отходить на второй план. Но вряд ли такой подход можно назвать правильным. Создание единой информационной системы для нескольких компаний можно сравнить с выпуском продукта: в процессе разработки появляются новые фичи, а вместе с ними могут появляться и новые уязвимости, поэтому тестирование финального продукта специалистами по информационной и кибербезопасности жизненно необходимо.

Важно строить IT-инфраструктуру по принципам риск-ориентированного подхода, просчитывать потенциальные риски атак и принимать меры по их предотвращению. И чем больше в финансовой группе становится участников обмена данными, тем тщательнее должен быть этот процесс. Плюс необходимо наращивать собственные компетенции в кибербезопасности и по возможности стремиться к тому, чтобы делать эту работу силами собственных внутренних служб. Да, это будет стоит достаточно больших ресурсов, и чем больше группа компаний, тем дороже это обойдется. Но безопасность никогда не бывает дешевой, особенно если речь идет о защите данных в финансовой организации. Важно понимать, что потенциальный ущерб от хакерских атак гораздо больше.

При всех этих рисках сегодня нельзя сказать, что банковские экосистемы испытывают глобальные проблемы с безопасностью. Напротив, у крупных компаний обычно большой штат высококлассных специалистов. Главное — вопрос кибербезопасности нужно всегда держать на первом месте.

Мнение автора может не совпадать с мнением редакции

\n \n\t\t\t \n\t\t\t \n\t\t \n\t","content":"\t\t

\n\t\t\t\u0412\u044b \u043d\u0435 \u0430\u0432\u0442\u043e\u0440\u0438\u0437\u043e\u0432\u0430\u043d\u044b \u043d\u0430 \u0441\u0430\u0439\u0442\u0435.\n\t\t \n\t\t

Читайте также: