Представители Российского Центра мониторинга и реагирования на компьютерные атаки в финансово-кредитной сфере (ФинЦЕРТ) опубликовали отчет об киберкампаниях, направленных на банки в 2018 году. По данным организации, за этот период зафиксировано 177 целевых атак на учреждения финансового сектора, большая часть из которых пришлась на IV квартал.

Как утверждают специалисты, активнее других на криминальном рынке действовали группировки Cobalt и Silence — на них приходится 38 кампаний. Среди вредоносных программ, используемых злоумышленниками, лидировали трояны RTM и Dimnie.

Эти же программы стали основным инструментом киберпреступников в атаках на организации — контрагенты банков. По мнению экспертов, за обоими видами вредоносного ПО могут стоять одни и те же киберпреступники. На это указывают даты нападений, а также использование одних и тех же уловок — например, альтернативной системы доменных имен NameCoin для сокрытия реального IP командного сервера.

Основной метод проникновения в целевые компьютерные системы, по данным специалистов ФинЦЕРТ, — рассылка зловредов по электронной почте с подменой адреса и применением методов социальной инженерии. Как следует из отчета, в 71% случаев атакующие использовали спуфинг, чтобы скрыть реального отправителя и ввести жертву в заблуждение. Что касается полезной нагрузки, то большую ее часть составляли программы-вымогатели (53% случаев) и зловреды — похитители денежных средств (34% писем).

По оценкам ИБ-специалистов, ущерб, нанесенный банкам действиями кибергруппировки Cobalt, в 2018 году составил около 44 млн рублей. Преступная организация Silence сумела похитить за тот же период чуть более 14 млн рублей. Эксперты отмечают, что суммарный урон, нанесенный атаками на финансово-кредитный сектор в прошлом году, значительно ниже, чем в 2017-м, когда злоумышленники сумели вывести со счетов банков порядка 1,2 млрд рублей.

Среди основных факторов, которые способствовали взлому информационных систем, аналитики называют:

  • отсутствие актуальных обновлений безопасности антивирусных систем, офисного ПО и специализированных решений;
  • необоснованно высокие привилегии некоторых пользователей и их недостаточная защита;
  • уязвимые конфигурации домена Active Directory;
  • возможность подключения к сети в обход брандмауэров.

Анализ случаев взлома банкоматов за 2018 год показал, что преступники все еще отдают предпочтение атакам типа blackbox, когда терминалы опустошают с помощью стороннего устройства.

Специалисты отмечают также, что ожидаемого увеличения числа мошеннических операций с отменой транзакции (TRF-атаки) в прошлом году не произошло. Тем не менее злоумышленники освоили новый вариант такого нападения, основанный на разнице во времени между запросом банкомата на списание средств и фактическим проведением транзакции. Киберпреступники используют ее, чтобы вывести деньги и отменить операцию. Специалисты ФинЦЕРТ советуют банкам отредактировать сценарии работы терминалов, чтобы исключить подобную атаку.

Категории: Аналитика, Вредоносные программы, Главное, Кибероборона, Мошенничество, Хакеры