На протяжении последних двух-трех лет финансовые организации входят в топ-3 по общему числу совершаемых кибератак¹. По данным ФинЦЕРТ², в 2018 году количество атак на организации этой отрасли составило 687, 177 из которых относились к Advanced Persistent Threat (APT)³. За атаками такого типа, как правило, стоят преступные группировки, имеющие значительные финансовые ресурсы и технические возможности. Основной их целью, конечно, является финансовая выгода.

Более 60% всех атак на кредитно-финансовые организации совершаются ради денег, еще более 30% из них нацелены на получение данных (информации о платежных картах, персональных данных, учетных данных пользователей для доступа к личным кабинетам и так далее). Но даже эта их треть в последующем может быть монетизирована за счет последующей кражи денег со счетов либо перепродажи данных на теневом рынке. Кстати, на долю данных банковских карт приходится около четверти всех продающихся в дарквебе данных, а средняя стоимость данных одной банковской карты с балансом от нескольких сотен до нескольких тысяч долларов на счету составляет 9 долларов⁴. Тем не менее, по данным ФинЦЕРТ, в 2018 году по сравнению с прошлым годом сумма ущерба уменьшилась 14 раз и составила не менее 76,5 млн рублей. Такое резкое снижение обусловлено общим повышением уровня информационной безопасности организаций. Немаловажным фактором в этом случае является информационный обмен внутри отрасли, способствующий повышению уровня осведомленности об актуальных угрозах ИБ.

Социальная инженерия начинает и выигрывает

В целом, банковская отрасль лучше других осознает риски своих потерь из-за недостаточного уровня киберзащищенности, и как следствие бюджеты, выделяемые в некоторых банках на обеспечение информационной безопасности, составляют от 80 до150 млн рублей (хотя в большинстве случаев средний бюджет ограничивается суммами 20–40 млн рублей⁵. Однако, сколько бы денег ни вкладывалось в защиту инфраструктуры организации, самым слабым звеном остается человек. Преступные группировки чаще всего используют методы социальной инженерии, нацеленные именно на работников интересующей злоумышленников организации. Самым популярным способом проведения такой атаки является рассылка фишинговых сообщений. 90% актуальных на сегодня APT-группировок используют этот способ на этапе проникновения⁶. При этом в среднем каждый четвертый сотрудник успешно поддается фишингу и выполняет нужные злоумышленнику действия: переходит по вредоносной ссылке или открывает вредоносное вложение⁷. Ситуация усугубляется, если фишинговое письмо приходит якобы от имени партнерской организации: в этом случае на удочку злоумышленников попадается каждый третий. В последнее время этот способ используется все чаще: злоумышленники заранее взламывают сервера партнера целевой организации и уже с его почтовых ящиков производят фишинговые рассылки (так называемые атаки Supply Chain или атаки по цепочкам доставки).

При таких атаках злоумышленники могут не ограничиваться рассылкой писем, а скажем, могут атаковать разработчиков определенного софта, которым пользуются интересующие злоумышленников организации, и встраивать вредоносный код, например, в очередное обновление. Все пользователи, которые устанавливают очередное обновление программы, заражают свои компьютеры. И, если речь идет о специализированном софте, предназначенном для банковских организаций или платежных операций в целом, то история становится более чем актуальной и для финансовой среды. Например, вредоносный код небезызвестного вируса-шифровальщика NotPetya был встроен как раз в одно из обновлений бухгалтерской программы. Не менее актуальным является и другой метод атаки, который в профессиональном сообществе известен как Watering Hole (так называемый метод «водопоя»). В этом случае злоумышленники взламывают популярный сайт, на который часто заходят сотрудники целевой организации, и размещают на нем вредоносный код. В результате на компьютер пользователя, посетившего уже взломанный сайт, скачивается хакерская программа⁸.

АРТ, которые рядом

Мы постоянно отслеживаем активность хакерских группировок, в том числе тех, которые атакуют финансовые организации на территории России и стран СНГ. За последние несколько лет их число существенно не менялось: в последние два года отечественные компании финансового сектора атаковались пятью группировками, и основными игроками на этом поле остаются Cobalt, Silence и RTM⁹. Все они активны как минимум с 2016 года и атакуют финансовые организации не только в России, но и за рубежом. В своих атаках все группировки используют фишинговые письма, которым придают максимально правдоподобный вид. В итоге такая корреспонденция выглядит очень убедительно и может ничем не отличаться от официальных сообщений регулятора (или переписки с деловыми партнерами). В качестве вредоносного вложения используются документы с макросами, эксплойтами, зашифрованные архивы с паролями в письме, а иногда и вовсе ссылки, размещенные в теле письма, ведущие на вредоносный файл.

В 2018 году в результате атак группы Cobalt банки потеряли более 44 млн рублей. И даже поимка их предполагаемого лидера в 2018 году не заставила группировку оставить свои дела

Группа Cobalt в представлении, пожалуй, не нуждается: по данным ФинЦЕРТ, в 2018 году в результате ее атак банки потеряли более 44 млн рублей. И даже поимка их предполагаемого лидера в 2018 году не заставила группировку оставить свои дела: за прошлый год мы зафиксировали 61 атаку группы Cobalt¹⁰. Излюбленным способом их атаки уже долгое время остаются фишинговые письма, а также атаки типа Supply Chain (например, злоумышленники из Cobalt рассылали фишинговые письма со взломанных аккаунтов сотрудников инкассаторских служб, банков, аэропортов и пр.). Менее активная и как следствие реже попадающая в заголовки СМИ группировка Silence, тем не менее, была второй по активности: в течение прошлого года мы зафиксировали семь ее атак, при этом, по данным ФинЦЕРТ, им удалось похитить из банков не менее 14 млн рублей. Обе группировки сосредоточены преимущественно на финансовой отрасли. Отличительная черта третьей группировки — RTM — нацеленность помимо прочего еще и на клиентов финансовых организаций. По нашим данным, за 2018 год группа провела 59 атак. Интересная ее особенность — использование в своих атаках технологии блокчейн, когда основной вредоносный модуль группы делает запрос одному из сервисов, который отображает все входящие и исходящие транзакции на bitcoin-кошельке злоумышленников и с помощью простых математических операций вычисляет очередной IP-адрес управляющего сервера. Мы разработали алгоритм, который позволяет нам отслеживать появление новых серверов, прогнозировать очередную атаку и уведомлять банковское сообщество об угрозе в среднем за два-три дня до начала атаки.

Как защищаться и что, если все же...

К защите можно подойти двумя способами: активно и проактивно. К активным способам защиты относится использование тех инструментов и процессов, которые помогут отражать атаку в реальном времени: антивирусные решения, межсетевые экраны, песочницы и пр. Если говорить именно о процессах, то стоит упомянуть правильно организованный патч-менеджмент (иными словами, своевременное обновление ПО), постоянный мониторинг событий внутри сети с использованием специализированных инструментов: систем класса SIEM¹¹ или NTA¹². Однако существуют проактивные способы, позволяющие свести к минимуму возможные последствия от атаки еще до ее начала. К ним, например, можно отнести Threat Intelligence, то есть набор данных, которые позволяют определить актуальные и возможные угрозы для организации. Эта информация позволяет идентифицировать атакующую в данный момент группу, подготовиться и выстроить эффективную линию защиты от будущих угроз. Любая кибератака имеет конечный набор техник и тактик, описанных в матрице ATT&CK корпорацией MITRE¹³, и, если обнаруживается новая техника, то она сразу же заносится в эту матрицу. Средства защиты, при разработке которых используются данные из нее, позволяют обнаружить угрозу и предотвратить дальнейшее вредоносное воздействие на каждом этапе атаки. Немаловажными при организации проактивной защиты являются уведомление сотрудников об актуальных угрозах ИБ и обучение с последующей проверкой качества такого обучения. Специалисты, зная, как выглядит фишинговое письмо, что с ним делать, куда категорически нельзя его отправлять и куда надо отправлять на анализ, будут более бдительными. В совокупности все описанные меры позволят снизить вероятность возникновения инцидента ИБ в несколько раз.

Если все же инцидент ИБ произошел, ключевым становится своевременное и качественное его расследование. Для начала необходимо сохранить как можно больше цифровых улик, которые чаще всего хранятся на компьютерах и серверах и потенциально могут помочь выйти на след злоумышленников. Для того чтобы сохранить как можно большее их число, нужно (как это ни банально звучит) выдернуть интернет-кабель из зараженного компьютера. При этом ПК необходимо оставить включенным: некоторые следы остаются в оперативной памяти устройства и при перезагрузке могут быть безвозвратно утеряны. На практике часто оказывается, что организации стараются самостоятельно и как можно быстрее устранить видимые источники инцидента, например просканировать антивирусными средствами зараженные ПК и переустановить на них операционные системы. В подавляющем большинстве случаев это бесполезно, особенно если злоумышленники оставили точки доступа в сеть через скомпрометированные узлы, о которых не знают/забыли сотрудники взломанной организации, устраняющие инцидент. В итоге повышается риск повторного инцидента. В данном случае необходимо качественное расследование (иногда с привлечением сторонних специалистов), при котором одновременно незаменимы специализированный инструментарий, экспертиза в области форензики, дополненная глубокими знаниями отраслевой специфики целевой организации, в том числе характерных и актуальных угроз.

1. Защищенность кредитно-финансовой сферы, итоги 2018 года. Оценка Positive Technologies, 2019 год.
2. Обзор основных типов компьютерных атак в кредитно-финансовой сфере в 2018 году. Банк России, ФинЦЕРТ.
3. Advanced Persistent Threat (APT) или целевая/таргетированная атака — это хорошо организованная, тщательно спланированная кибератака, которая направлена на конкретную компанию или целую отрасль.
4. Рынок преступных киберуслуг, Positive Technologies, 2018 год.
5. Сколько стоит безопасность, Positive Technologies, 2017 год.
6. APT-атаки на кредитно-финансовую сферу в России: обзор тактик и техник, Positive Technologies, 2019 год.
7. Как социальная инженерия открывает хакеру двери в вашу организацию, Positive Technologies, 2018 год.
8. APT-атаки на кредитно-финансовую сферу в России: обзор тактик и техник, Positive Technologies, 2019 год.
9. APT-атаки на кредитно-финансовую сферу в России: обзор тактик и техник, Positive Technologies, 2019 год.
10. Защищенность кредитно-финансовой сферы, итоги 2018 года. Оценка Positive Technologies, 2019 год.
11. SIEM (Security information and event management) — система мониторинга, позволяющая выявлять инциденты в режиме реального времени.
12. NTA (Network Traffic Analysis) — система анализа трафика для выявления атак.
13. MITRE ATT&CK — это база знаний, разработанная и поддерживаемая корпорацией MITRE на основе анализа реальных APT-атак. Представляет собой наглядную таблицу тактик, для каждой из которых указан список возможных техник. Позволяет структурировать знания об APT и категоризировать действия злоумышленников.