Банки под угрозой: хакеры еженедельно атакуют финансовые организации

МОСКВА, 28 сен — РИА Новости. Российские банки подвергаются кибератакам 2-3 раза в неделю, причем мошенникам "интересны" не только финансовые организации из топ-100, но и не столь крупные участники рынка, сообщил журналистам замначальника главного управления безопасности и защиты информации Банка России Артем Сычев.

"Для банковской системы самые актуальные атаки — это Cobalt Strike. Мы таких фиксируем в неделю по 2-3 целевых атаки, каждая из них попадает по 10-15 банкам", — рассказал Сычев, добавив, что именно Cobalt Strike вызывает у регулятора основные опасения.

"Они (атаки — ред.) направлены на всех участников. Конечно, чем больше масштаб, тем ярче могут быть последствия. Но реально интересны все", — сказал Сычев, отвечая на вопрос журналиста, направлены ли атаки на топ-100 банков.

Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере (ФинЦЕРТ) Банка России выявил, что в первом квартале 2017 года резко выросла активность целевых атак на банки. Если во втором полугодии 2016 года было зафиксировано всего 8 таких атак, то в первом квартале 2017 – уже 10, во втором квартале – 29, в третьем квартале (без учета сентября) — 14 атак.

ФинЦЕРТ опубликовал уже второй отчет о компьютерных атаках в кредитно-финансовой сфере, в отчете анализировались данные за период с 1 июня 2016 года по 1 сентября 2017 года. По состоянию на 1 сентября 2017 года в информационном обмене участвовали 418 кредитных организаций и филиалов. По данным ФинЦЕРТ, за­метный рост числа участников – кредитных организаций наблюдался в январе-феврале 2017 года после серии рассылок злоумышлен­никами загрузчиков Cobalt Strike в адрес кре­дитных организаций. Всего же количество участников информационного обмена составило 526 организаций.

Активные атаки

Наибольшую активность мошенники проявляли во втором квартале 2017 года – было зафиксировано 106 нецелевых атак, 29 целевых и 12 DDoS-атак, следует из отчета ФинЦЕРТ.

"Самый спокойный месяц в году — август. На эту динамику влияют ещё дополнительные факторы — активность той или преступной группировки, она зависит от разных вариаций", — объяснил Сычев причины снижения активности хакеров в третьем квартале 2017 года.

Наиболее распространенный тип атак – нецелевые атаки. Специалисты ФинЦЕРТ зафиксировали 352 атаки подобного характера за третий квартал 2016 года – третий квартал 2017 года, следует из отчета.

DDoS-атак за отчетный период также стало больше — максимальная активность пришлась на четвертый квартал 2016 года, когда было зафиксировано 20 атак. В первом квартале 2017 года было зафиксировано 8 DDoS-атак, во втором квартале – 12 атак, а в третьем квартале — 2 атаки.

Мошенники также активно используют массовые рассылки почтовых сообщений, содержащих загрузчики вредоносного ПО. Излюбленным вариантом является массовая рассылка писем с вложением-вирусом – они составляют 73% от всех вредоносных массовых рассылок, следует из отчета ФинЦЕРТ. Популярными среди мошенников также являются массовые рассылки со ссылками внутри сообщения (18%).

Самым используемым вредоносным ПО является Trojan.Downloader, которая загружает и устанавливает на компьютер различные вредоносные программы. По сравнению с предыдущим отчетным периодом доля подобных вложений увеличилась на 5 п.п. и составила 58% от всех вредоносных программ, используемых злоумышленниками.

Вторая по популярности среди мошенников вредоносная программа — Trojan.Encoder, которая шифрует файлы на жестком диске компьютера и требует деньги за их расшифровку. Доля таких вложений составила 13% против 18% в предыдущем отчетном периоде. Авторы исследования связывают снижение показателя с совершенствованием системы обнаружения и фильтрации подобного рода пи­сем.

Согласно экспертам ФинЦЕРТ, в отчетный период также вырос интерес злоумышленников к атакам на банкоматы — логическим и физическим. Среди основных видов атак — скимминг, шимминг, блэк-бокс.

Основной тренд логических атак во второй половине 2016 года и первой половине 2017 года – использование ПО Cobalt Strike, изначально предназначенного для проведения тестирования на проникновение, говорится в исследовании. В данном случае Cobalt Strike – это средство для получения удаленного доступа к банкоматам и передачи на них ПО для выдачи денежных средств. По состоянию на 1 сентября 2017 года Фин­ЦЕРТ известны по меньшей мере два факта атак описанным методом.

Вредоносные домены

Существенную угрозу для кредитных организаций представляют и домены, с которых рассылаются вредоносные коды и осуществляются мошеннические действия.

"С 1 января 2017 года по 1 сентября 2017 года ФинЦЕРТ отправил информацию о 481 домене различной мошеннической тематики, подлежащем разделегированию (лишению владельца прав на домен – ред.). По итогам рассмотрения заблокированы регистраторами 367 доменов", — сказано в отчете.

Авторы исследования указали, что в среднем за месяц разделегированию подлежат около 50 доменов, находящихся в различных зонах.

Наибольшее количество разделегированных доменов приходится на сферу Р2Р переводов, то есть осуществляемых физическими лицами переводами с карты на карту – за отчетный период их насчитывается 84 домена. На сферу страховых компаний приходится 45 разделегированных доменов, на лжебанки – 44, на финансовые пирамиды – 39.