ФинЦЕРТ назвал три основные тенденции в целевых компьютерных атаках на банки

Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере департамента информационной безопасности Банка России (ФинЦЕРТ), одним из направлений работы которого является технический анализ данных о компьютерных преступлениях против финансовых организаций и их клиентов, выявил три основных тренда в целевых атаках киберпреступников на организации кредитно-финансовой сферы. О них говорится в выпущенном в четверг, 18 октября, отчете ФинЦЕРТа за сентябрь 2017 года — август 2018-го.

Первым трендом стал общий рост числа попыток атак, характеризовавшийся увеличением объема фишинговых писем, использованием незакрытых уязвимостей популярных веб-фреймворков, количеством попыток взлома инфраструктуры кредитных организаций через так называемые бруты (подбор учетных данных к доступным из Интернета элементам инфраструктуры) и т. д. Так, за I и II кварталы 2017 года было зафиксировано 39 целевых атак, за аналогичный период 2018 года — 72.

При этом доля успешных атак, наоборот, снижается, как и ущерб от них. Эта тенденция объясняется как деятельностью различных CERT, так и повышением общего уровня кибербезопасности организаций кредитно-финансовой сферы: значительная часть фишинговых писем отфильтровывается на почтовом шлюзе и иными компонентами систем защиты. По данным ФинЦЕРТа, за восемь месяцев 2017 года кредитные организации потеряли около 1,079 млрд рублей, а за аналогичный период 2018-го — порядка 76,5 млн. Количество успешных атак — 22 и 20 соответственно.

Определенное влияние на ситуацию, по мнению ФинЦЕРТа, оказало задержание в марте текущего года в Испании одного из руководителей группы киберпреступников, известной в публичных источниках как Cobalt. Тем не менее атаки с использованием программного обеспечения Cobalt Strike после задержания не прекратились — группа продолжает свою деятельность. Данная группа, как предполагается, ранее была известна как Carbanak и использовала одноименное вредоносное ПО.

Третьей тенденцией названо смещение вектора интереса преступников в сторону клиентов кредитных организаций — юридических лиц. В частности, ФинЦЕРТ наблюдал значительное количество атак на компании с использованием вредоносного программного обеспечения семейства Dimnie, оснащенного специальными модулями для работы с ДБО, а также вредоносного ПО семейства RTM.

«Рост интереса злоумышленников к юридическим лицам можно объяснить как более слабой защитой малого и среднего бизнеса, так и вводом в действие законодательных актов, защищающих крупные организации, относящиеся к критической инфраструктуре Российской Федерации, и ужесточающие наказание за атаки на них», — говорится в докладе.

В дальнейшем, по мнению ФинЦЕРТа, общий тренд на снижение количества успешных крупных хищений непосредственно у кредитно-финансовых организаций сохранится. А число хищений у клиентов банков — юлиц и индивидуальных предпринимателей, наоборот, может возрасти. Одной из причин могут стать произошедшие в текущем отчетном периоде утечки в Интернет исходного программного кода соответствующего вредоносного ПО.

Помимо целевых атак на организации кредитно-финансовой сферы ФинЦЕРТ выделяет следующие наиболее часто встречающиеся типы компьютерных атак:

• атаки на граждан — клиентов кредитно-финансовых организаций при помощи методов социальной инженерии;
• нецелевые (спам-атаки) на организации кредитно-финансовой сферы;
• атаки на устройства самообслуживания;
• атаки на клиентов кредитно-финансовых организаций с использованием вредоносного ПО;
• атаки watering hole через зараженные популярные сайты, преимущественно СМИ. Данный вид атак направлен на посетителей сайтов, основная цель — получение удаленного доступа к компьютеру жертвы и поиск на нем интересующих данных (в частности, ДБО).