РУССКИЙ
РУССКИЙ
ENGLISH
19.02.2019

Incident Response: итоги года

74% банков не готовы к киберинцидентам
Group-IB, международная компания, специализирующейся на предотвращении кибератак, провела исследование высокотехнологичных киберпреступлений, основанное на анализе проведенных реагирований на инциденты информационной безопасности (Incident Response) в 2018-м году. Основной целью хакеров традиционно стал финансовый сектор, при этом 74% банков оказались не готовы к кибератакам, у 29% были обнаружены активные заражения вредоносными программами, а в 52% случаев выявлены следы совершения атак в прошлом. Опасными тенденциями в финансовом секторе, эксперты называют заказные информационные атаки, отправной точкой которых является киберинцидент, а также трансграничные атаки, реализующие «принцип домино», когда скомпрометированная инфраструктура банка-жертвы используется для атаки на другой банк, а тот, в свою очередь, на следующий и так далее.
Основываясь на собственных данных, команда реагирования Лаборатории компьютерной криминалистики Group-IB исследовала киберинциденты, произошедшие на территории России за 2018-й год. Общее количество реагирований Group-IB выросло более чем в 2 раза относительно 2017 года. Перечень основных угроз, с которыми сталкивались пострадавшие компании, возглавляют целевые атаки, конкурентный шпионаж, атаки с помощью вирусов-шифровальщиков, криптомайнинг.

Главный вывод экспертов-криминалистов Group-IB – подавляющее большинство российских компаний, ставших жертвами хакерских атак в прошлом году, не имели плана реагирования на киберинцидент, не были готовы в сжатые сроки мобилизовать работу профильных подразделений, персонал которых, в свою очередь, зачастую не способен организационно и технически противостоять действиям атакующих. Эксперты Group-IB обращают внимание на высокую вероятность повторных инцидентов в таких компаниях: они могут пострадать как от действий той же хакерской группы, так и от новой, которой были проданы данные для доступа в атакованную систему.

Incident Response — обнаружение и реагирование на инциденты информационной безопасности по всему миру. Эксперты Group-IB первыми узнают о готовящихся атаках, тактике и инструментах самых опасных хакерских групп благодаря синергии опыта, современных технологий и собственной системе мониторинга, анализа и прогнозирования киберугроз — Threat Intelligence.
Слабое звено: банки не готовы отразить кибератаку
По данным исследования инцидентов, на банки пришлось около 70% хакерской активности в прошлом году. Схемы для обналичивания денежных средств хакерами остаются прежними. Деньги выводятся через заранее открытые «под обнал» банковские карты, счета юридических фирм-однодневок, платежные системы, банкоматы и сим-карты. При этом скорость обналичивания в России выросла в несколько раз: если 3 года назад обналичка суммы в 200 млн руб., в среднем, занимала около 25-30 часов, то в 2018-м году компания столкнулась с прецедентом, когда такая же сумма была обналичена менее чем за 15 минут единовременно, в разных городах России.
Анализ данных, полученных Group-IB в ходе мероприятий по реагированию на инциденты информационной безопасности, выявил, что более 74% атакованных в 2018 году банков не были готовы к кибератакам. При этом более 62% не способны централизованно управлять свой сетью (особенно, в территориально распределенной инфраструктуре), что критично для скорости локализации инцидента и минимизации ущерба. 80% пострадавших от действий хакеров финансовых организаций не имеют достаточной глубины журналирования событий протяженностью более месяца. Это затрудняет или делает невозможным восстановление ретроспективы атаки с этапа заражения до момента вывода денежных средств.

Несогласованность в работе внутренних подразделений – дополнительный фактор, играющий на руку атакующим: более 64% финансовых организаций, в которых работала команда по реагированию Group-IB, тратили на согласование работ между подразделениями более 4 часов, тогда как для оперативной работы «по горячим следам», этот период не должен превышать 1 часа. При этом среднее количество часов, потраченных на совещания, согласования доступов, регламентные работы в рамках одного реагирования при наступлении инцидента составляло 12 часов.
Неутешительные выводы
Анализ результатов реагирования на инциденты информационной безопасности в банках в 2018 году
74%
Атакованных банков не были готовы к кибератакам
62%
Пострадавших не способны централизованно управлять свой сетью
80%
Атакованных банков не имеют достаточной глубины журналирования
Цепная реакция: как происходят трансграничные атаки
Исследование Group-IB выявляет не только слабую проработку организационных процедур, необходимых для установления источника заражения, масштаба компрометации и локализации инцидента, но и недостаточную техническую подготовку персонала банков. По данным компании, профильные навыки по поиску следов заражения и несанкционированной активности в сети отсутствуют или недостаточны у персонала 70% организаций. Столько же не имеют четких процедур по самостоятельному выявлению компрометации аппаратного и программного обеспечения. Высокие риски несет неготовность технических специалистов к оперативной реакции на инцидент: по данным Group-IB, более 60% банков не способны в сжатые сроки провести централизованную единоразовую смену всех паролей, что позволяет хакерам атаковать новые цели изнутри взломанной инфраструктуры банка.
«Банк, чья инфраструктура оказалась взломанной, может не просто потерять денежные средства, но и стать угрозой для других игроков финансового рынка. Атакуя цель, финансово мотивированная хакерская группа всегда стремится извлечь максимальную выгоду: получая контроль над системами банка, она заинтересована не только в выводе денег из него, но и в заражении максимального количества новых жертв. Для этой цели запускается «принцип домино» — вредоносная рассылка из скомпрометированной инфраструктуры идет по спискам компаний-партнеров банка. Такой вектор опасен, прежде всего тем, что письма отправляются из реального банка, то есть отправитель не подделан, что повышает вероятность их открытия в банке-партнере. Таким образом запускается цепная реакция, которая может привести ко множественным заражениям финансовых организаций. В 2018 году мы зафиксировали использование данного вектора как в России, так и в Восточной Европе».

Валерий Баулин,
Глава Лаборатории компьютерной криминалистики компании Group-IB.
Двойная порция
Ситуацию осложняет инертность служб информационной безопасности и ИТ-отделов атакованных банков в устранении последствий и отработке инцидента уже после завершения основных работ команды реагирования. Как правило, банк получает рекомендации по дальнейшей локализации и отработке инцидента соответствующими подразделениями. Исполнение рекомендаций может занимать продолжительное время и зависит от размера инфраструктуры, степени и глубины компрометации сети банка, готовности ИТ\ИБ команды к выполнению данных задач, необходимости внедрения новых средств защиты, а также внесения корректировок в процессы управления и инвентаризации сети.

По данным Group-IB, не менее 17% компаний, в которых проводилось реагирование, подверглись повторной эксплуатации ранее не устраненных уязвимостей в течение года после последнего заражения. В подавляющем большинстве случаев это стало следствием неисполнения рекомендаций, а также халатности со стороны персонала банка. Кроме того, в течение 2018 года у 29% организаций финансового сектора экспертами Group-IB были обнаружены активные заражения, о существовании которых внутренняя служба информационной безопасности ранее не подозревала. В 52% случаев обнаружены следы совершения атак в прошлом.
Кибератаку заказывали?
В 2018-м году командой реагирования Group-IB зафиксированы случаи, когда кибератака была организована в целях создания резкого негативного фона вокруг банка, провоцирующего вытеснение, а затем его уход с рынка.
«Вокруг банка намеренно или уже по факту создается негативный фон: оценки потенциального ущерба, недопустимо низкий уровень защиты, вероятный отзыв лицензии… Это приводит к оттоку клиентов и партнеров, банк сталкивается с недостаточной капитализацией. Использование кибератаки, как инструмента нанесения урона репутации и вытеснения конкурента с рынка, еще один опасный вектор, который потенциально может получить дальнейшее развитие, так как уровень кибербезопасности небольших банков по-прежнему остается крайне низким»

Валерий Баулин,
Глава Лаборатории компьютерной криминалистики компании Group-IB.
О команде реагирования Group-IB

Компания Group-IB занимается реагированием на инциденты информационной безопасности (Incident Response) с 2003 года. Основные компетенции и экспертиза по этому направлению сосредоточены в крупнейшей в Восточной Европе Лаборатории компьютерной криминалистики Group-IB, которая за 16 лет безупречной работы доказала высокий уровень и профессионализм своих специалистов и экспертов, провела множество успешных реагирований в различных организациях по всему миру.

Целью реагирования является выяснение всех зараженных хостов, скомпрометированных данных, используемого инструментария и создание на базе этой информации индикаторов компрометации, с помощью которых можно выявить все зараженные или использованные в атаке хосты.

Кроме того, специалисты Лаборатории Group-IB разрабатывают рекомендации для пострадавшей организации по дальнейшей локализации вплоть до полной остановки инцидента и проработке его последствий. Кроме того, на базе Лаборатории Group-IB развернуты сервисы по подготовке к эффективному реагированию на инциденты информационной безопасности (Pre-IR Assessment), а также по обнаружению готовящейся атаки и имеющихся следов компрометации отдельных узлов сети (Compromise Assessment).