Ущерб российских организаций кредитно-финансовой сферы в 2018 году от атак хакерской группы Cobalt составил не менее 44 млн рублей, а от атак, которые, как предполагается, были осуществлены группой Silence, — не менее 14,403 млн. Такие данные приводятся в «Обзоре основных типов компьютерных атак в кредитно-финансовой сфере в 2018 году», опубликованном на сайте ЦБ.
Из 375 кампаний по распространению вредоносного программного обеспечения, зафиксированных ФинЦЕРТ (Центром мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере, это структурное подразделение департамента информационной безопасности ЦБ), 71 была нацелена конкретно на организации кредитно-финансовой сферы и их клиентов. В том числе на протяжении 2018 года ФинЦЕРТ многократно фиксировал целевые атаки, приписываемые Cobalt (также известна как Carbanak и FIN7) и Silence. «Несмотря на арест в марте 2018 года в Испании одного из лидеров Cobalt и задержание в Европе еще нескольких ее членов, группа свою деятельность не прекратила, а лишь снизила активность на некоторое время… У специалистов ФинЦЕРТ есть основания полагать, что после громких арестов от группы могла отделиться часть, на данный момент сформировавшаяся в самостоятельное, аналогичное по степени квалифицированности и опасности сообщество», — говорится в обзоре.
Тактика работы Silence, Cobalt и подобных групп схожа: первоначальное проникновение идет через spear-phishing (целевой фишинг с использованием приемов социальной инженерии или какой-либо заранее известной атакующему информации о цели). Письма, рассылаемые сотрудникам организаций, часто направляются якобы от имени других финорганизаций или госорганов, вредоносное ПО обычно содержится во вложениях. В большинстве известных случаев для внедрения кода использовались уязвимости Microsoft Office, ранее уже устраненные в обновлениях, то есть, как подчеркивают в ЦБ, успех атакующих в том числе был обусловлен использованием на компьютерах организаций несвоевременно обновляемого ПО.
В числе прочего сообщается о случаях использования для вредоносных рассылок почтовых сервисов организации, где ранее было совершено хищение.
В 2017—2018 годах наибольшее число успешных хищений происходило после атак, проведенных с мая по август. По мнению ЦБ, это может объясняться снижением бдительности сотрудников организаций в преддверии отпусков.
Одной из ключевых тенденций 2018 года стало использование публичных почтовых сервисов для отправки писем, содержащих вредоносное ПО.
05.07.2019 13:59«В случае если у атакованной организации нет своего процессинга, но есть платежный шлюз, атакующие используют его для передачи подложных платежных поручений либо поручений для изменения баланса платежных карт (при использовании процессинговых центров)… Пожалуй, самым простым вариантом достижения итоговых целей атак является компрометация подсети устройств самообслуживания (банкоматов) с загрузкой на такие устройства специализированного вредоносного ПО», — указано в обзоре.
Также сообщается, что «к концу 2018 года возросла активность группы Silence, которая… имела ряд значимых успехов и, вероятно, в будущем также будет представлять значительную опасность… После совершения хищений из российской кредитной организации с использованием ее сервера электронной почты были несколько раз осуществлены вредоносные рассылки по адресам кредитных организаций России и стран СНГ».
В ФинЦЕРТ также выявили не менее двух фактов успешного снятия в банкоматах российских банков крупных сумм, похищенных у иностранных банков группой Lazarus (Hidden Cobra, APT 38). «Средства и методы, использованные преступниками, могут быть применены и против российских организаций, в связи с чем ФинЦЕРТ внимательно отслеживает результаты ведущихся расследований», — подчеркивается в обзоре.
В большинстве случаев рассылки вредоносного программного обеспечения злоумышленники применяли спуфинг — подмену электронных почтовых адресов.
05.07.2019 14:03По данным компании Positive Technologies, которая участвовала в подготовке обзора ЦБ, группа Cobalt в 2018-м выполнила 61 рассылку по банкам в России и СНГ. В том числе уточняется, что «фишинговые рассылки в августе и начале сентября проводились с поддельных доменных адресов, якобы принадлежавших платежной системе Interkassa, а также банкам BBVA Compass Bancshares, Европейскому центральному банку, Unibank, Альфа-Банку, Райффайзенбанку. В течение IV квартала рассылка проводилась от лица взломанных банков — например, от имени UNIStream».
Silence в прошлом году провела семь атак. Также сообщается о 59 рассылках группы RTM, в том числе нацеленных на финучреждения.
Кроме того, во второй половине 2018 года была выявлена новая группировка, атакующая финансовый сектор: злоумышленники рассылали вредоносные документы с макросами якобы от лица ФинЦЕРТ. При исполнении макроса на компьютер загружалась полезная нагрузка — Metasploit stager. Также была зафиксирована рассылка, которая проводилась через скомпрометированную учетную запись сотрудника компании «Альфа-Капитал». При анализе рассылаемого документа был обнаружен сценарий на JavaScript, который использовала группа Treasure Hunters, однако в него была добавлена функция запуска Metasploit stager, указывают в Positive Technologies.
