Банки на кибервойне

ИБ-компании констатируют повышенный спрос на свои разработки со стороны финансовых организаций

Российские банки фиксируют кратный рост числа кибератак на свою инфраструктуру. Причем сегодня действия хакеров направлены не на похищение денег, а на нарушение функционирования финансового сектора. Компании, специализирующихся на разработке средств защиты, сообщают о повышенном спросе со стороны банков на решения информбезопасности. Как сегодня финансовые организации противостоят круглосуточным нападениям киберпреступников – в материале RSpectr.

ЦЕЛЬ – НЕ ДЕНЬГИ

России объявлена масштабная кибервойна, заявил заместитель председателя правления Сбербанка Станислав Кузнецов. Он указал, что с момента начала спецоперации на Украине финансовая организация отмечает повышенную активность хакеров, ежедневно фиксируя до нескольких десятков одновременных DDoS-атак.

В свою очередь, вице-президент, директор департамента кибербезопасности Сбербанка Сергей Лебедь в ходе международного форума Positive Hack Days 11 рассказал, что если до 24 февраля проводилась одна атака в неделю, то уже в марте специалисты Сбербанка фиксировали до 46 одновременных DDoS-атак, нацеленных на разные сервисы. Для этого использовался широчайший инструментарий, включая вредоносные коды, внедренные в браузерах пользователей, посещавших сайты онлайн-кинотеатров.

Сегодня Сбербанк круглосуточно находится под кибератаками. Центр киберзащиты организации в режиме 24/7 ведет анализ угроз и оперативно реагирует на них. Преступные группировки хорошо координируются. Общая численность злоумышленников, действующих против Сбербанка, превышает 100 тыс. человек.

6 мая 2022 года Сбербанк успешно отразил самую мощную DDoS-атаку в своей истории

Она была направлена на сайт банка, а вредоносный трафик, сгенерированный ботнетом, исходил из более чем 27 тыс. устройств из Тайваня, США, Японии и Великобритании. Ее мощность составила более 450 Гб в секунду.

Атака никак не повлияла на доступность ресурсов банка.

По словам С.Лебедя, сегодня преступники используют новые тактики и инструменты к проведению кибератак, которые включают в себя внедрение кода в рекламные скрипты, применение вредоносного расширения для Google Chrome и готовых docker*-контейнеров с настроенными инструментами проведения атак.

Кибератаки в настоящее время направлены на нарушение функционирования финансового сектора, хотя ранее они были нацелены на похищение денег, заявил вице-президент по IT «Тинькофф банка» Вячеслав Цыганов в ходе РИФ-2022.

Вячеслав Цыганов, «Тинькофф банк»:

– Уровень кибератак сейчас критический, по нашей статистике, их число выросло в 20-30 раз. Атаки стали целевыми и очень сложными, и заточены на финансовый сектор. Раньше они были направлены на хищение денег, а сейчас – на нарушение трудоспособности сектора.

Ранее заместитель председателя Банка России Герман Зубарев, выступая в Госдуме, отметил, что с 24 февраля по 12 апреля 2022 года произошло 265 кибератак на российские финансовые организации, при этом с начала года до конца февраля таких атак было только 12.

МЕНЬШЕ, НО МОЩНЕЕ

Об увеличении активности злоумышленников RSpectr рассказали и в компаниях, специализирующихся на разработке средств информационной безопасности.

«Мы отмечаем существенное увеличение числа DDoS-атак на организации из различных отраслей, и финансовые учреждения являются одним из наиболее атакуемых бизнес-сегментов. В текущих условиях наша компания отрабатывает тысячи инцидентов ежедневно», – сообщил основатель и генеральный директор Qrator Labs Александр Лямин.

По словам эксперта, некоторые атаки на банки были успешными, что привело к деградации работы ряда сервисов тех организаций, которые оказались технически не подготовленными к подобного рода масштабным и массовым нападениям.

По данным директора по развитию бизнеса центра противодействия кибератакам Solar JSOC компании «РТК-Солар» Алексея Павлова, основной угрозой для сегмента сейчас являются высокопрофессиональные хакерские группировки. Это объясняется тем, что IТ-периметры большинства банков обычно хорошо защищены, и для успешной атаки хакерам нужна техническая подкованность и серьезные финансовые вложения.

Однако есть и небольшие банки, где бюджеты на ИБ изначально невысокие, и потенциально их уязвимость перед профессиональными хакерами выше, но и внимание к ним со стороны злоумышленников меньше.

А.Павлов отмечает, что сложно подготовленные атаки направлены уже не на банальное хищение средств со счетов клиентов, а на доступ к персональным данным пользователей и сотрудников, а также проникновение и долгое нахождение во внутренней инфраструктуре банка.

Атаки менее профессиональных хакеров нацелены скорее на клиентов банков и кражу денег с применением социальной инженерии.

При этом по словам А.Павлова,

более чем в 60% случаев кибератак на финансовый сектор по-прежнему начинаются с фишинга

Если говорить про DDoS-атаки на банки, то прямой угрозы данным и информации клиентов они не несут, так как просто делают сайт недоступным для пользователя. Но не исключено, что такие атаки могут использоваться, чтобы отвлечь ИБ-службу от более серьезных инцидентов, в том числе для проникновения во внутреннюю сеть банка.

С.Лебедь прогнозирует, что

в ближайшее время количество DDoS-атак будет снижаться, однако их мощность продолжит расти, то есть они станут более сфокусированными и скоординированными

А.Лямин полагает, что пик атак пройден, но обострение ситуации может произойти в любой момент.

Александр Лямин, Qrator Labs:

– Еще рано говорить о том, что спад атак, который мы наблюдаем, окончательный: все напрямую зависит от внешнеполитической ситуации. Если в текущем конфликте будут еще обострения, то и на киберпространстве это однозначно отразится увеличением числа и интенсивности нападений.

С.Лебедь отмечает, что возможно появление новых видов мошенничества из-за доступности большого количества баз данных. Логичным станет и дальнейшее развитие фишинговых кампаний с целью кражи учетных данных сотрудников и последующего проникновения в инфраструктуру организаций.

Эксперт подчеркивает, что успешное противодействие сетевой преступности возможно только при условии слаженной совместной работы правоохранительных органов, регуляторов и подразделений кибербезопасности. И такое сотрудничество сейчас активно развивается. Уже созданы каналы взаимодействия и обмена информацией о кибератаках, разработаны подробные рекомендации по защите инфраструктуры. Помимо прочего, принят ряд мер, которые помогают консолидировать усилия по защите государства и бизнеса от посягательств преступников.

УСИЛИТЬ ЗАЩИТУ

Судя по числу успешных атак на банки в последнее время, готовыми к подобной волне киберинцидентов оказались не все, указывает А.Лямин. По словам эксперта, некоторые финансовые организации до сих пор используют для защиты «коробочные» решения в своей инфраструктуре, которые часто не спасают от интенсивных нападений. Более того, DDoS-атаки часто идут в паре с попытками взлома, поэтому

спрос на сервисы противодействия атакам, а также решения для защиты от взломов возрастает сейчас в разы

В компании Group-IB RSpectr подтвердили, что в последние месяцы наблюдают повышенный спрос со стороны финансовых учреждений на решения кибербезопасности.

После ухода из РФ крупных американских и европейских вендоров банки в первую очередь оперативно меняют комплексы для защиты от целевых атак, анализаторы трафика, «песочницы» и агенты на рабочих станциях пользователей, которые в комплексе способны обеспечить защиту периметра от широкого спектра киберугроз, среди которых программы-шифровальщики, эксплойты, банковские трояны, шпионы, бэкдоры.

Кроме того, в Group-IB рассказали, что отмечают повышенный интерес финансового сектора к данным Threat Intelligence (киберразведка) –

банки хотят узнавать о готовящихся атаках превентивно, оперативно получать индикаторы компрометации и фиды, чтобы защититься

После 24 февраля специалисты Лаборатории цифровой криминалистики Group-IB фиксируют практически трехкратный рост атак программ-вымогателей, которые используются как для получения выкупа, так и с целью уничтожения важной информации, то есть саботажа.

Из-за активности хактивистов востребована защита веб-приложений и веб-сайтов от атак вредоносных ботов – с их помощью злоумышленники отправляют многочисленные запросы к веб-страницам сайтов и «кладут» их (так называемый DDoS на уровне L7).

«Мы разработали решение по защите от вредоносных ботов Preventive Proxy, и оно на 100% отсекает такие атаки», – заверили в Group-IB.

Изображение: RSpectr, Freepik.com

______

* Docker – платформа для разработки, доставки и запуска контейнерных приложений.