Incident Response: итоги года

Основываясь на собственных данных, команда реагирования Лаборатории компьютерной криминалистики Group-IB исследовала киберинциденты, произошедшие на территории России за 2018-й год. Общее количество реагирований Group-IB выросло более чем в 2 раза относительно 2017 года. Перечень основных угроз, с которыми сталкивались пострадавшие компании, возглавляют целевые атаки, конкурентный шпионаж, атаки с помощью вирусов-шифровальщиков, криптомайнинг.

Главный вывод экспертов-криминалистов Group-IB – подавляющее большинство российских компаний, ставших жертвами хакерских атак в прошлом году, не имели плана реагирования на киберинцидент, не были готовы в сжатые сроки мобилизовать работу профильных подразделений, персонал которых, в свою очередь, зачастую не способен организационно и технически противостоять действиям атакующих. Эксперты Group-IB обращают внимание на высокую вероятность повторных инцидентов в таких компаниях: они могут пострадать как от действий той же хакерской группы, так и от новой, которой были проданы данные для доступа в атакованную систему.

По данным исследования инцидентов, на банки пришлось около 70% хакерской активности в прошлом году. Схемы для обналичивания денежных средств хакерами остаются прежними. Деньги выводятся через заранее открытые «под обнал» банковские карты, счета юридических фирм-однодневок, платежные системы, банкоматы и сим-карты. При этом скорость обналичивания в России выросла в несколько раз: если 3 года назад обналичка суммы в 200 млн руб., в среднем, занимала около 25-30 часов, то в 2018-м году компания столкнулась с прецедентом, когда такая же сумма была обналичена менее чем за 15 минут единовременно, в разных городах России.

Анализ данных, полученных Group-IB в ходе мероприятий по реагированию на инциденты информационной безопасности, выявил, что более 74% атакованных в 2018 году банков не были готовы к кибератакам. При этом более 62% не способны централизованно управлять свой сетью (особенно, в территориально распределенной инфраструктуре), что критично для скорости локализации инцидента и минимизации ущерба. 80% пострадавших от действий хакеров финансовых организаций не имеют достаточной глубины журналирования событий протяженностью более месяца. Это затрудняет или делает невозможным восстановление ретроспективы атаки с этапа заражения до момента вывода денежных средств.

Несогласованность в работе внутренних подразделений – дополнительный фактор, играющий на руку атакующим: более 64% финансовых организаций, в которых работала команда по реагированию Group-IB, тратили на согласование работ между подразделениями более 4 часов, тогда как для оперативной работы «по горячим следам», этот период не должен превышать 1 часа. При этом среднее количество часов, потраченных на совещания, согласования доступов, регламентные работы в рамках одного реагирования при наступлении инцидента составляло 12 часов.

Исследование Group-IB выявляет не только слабую проработку организационных процедур, необходимых для установления источника заражения, масштаба компрометации и локализации инцидента, но и недостаточную техническую подготовку персонала банков. По данным компании, профильные навыки по поиску следов заражения и несанкционированной активности в сети отсутствуют или недостаточны у персонала 70% организаций. Столько же не имеют четких процедур по самостоятельному выявлению компрометации аппаратного и программного обеспечения. Высокие риски несет неготовность технических специалистов к оперативной реакции на инцидент: по данным Group-IB, более 60% банков не способны в сжатые сроки провести централизованную единоразовую смену всех паролей, что позволяет хакерам атаковать новые цели изнутри взломанной инфраструктуры банка.

Ситуацию осложняет инертность служб информационной безопасности и ИТ-отделов атакованных банков в устранении последствий и отработке инцидента уже после завершения основных работ команды реагирования. Как правило, банк получает рекомендации по дальнейшей локализации и отработке инцидента соответствующими подразделениями. Исполнение рекомендаций может занимать продолжительное время и зависит от размера инфраструктуры, степени и глубины компрометации сети банка, готовности ИТ\ИБ команды к выполнению данных задач, необходимости внедрения новых средств защиты, а также внесения корректировок в процессы управления и инвентаризации сети.

По данным Group-IB, не менее 17% компаний, в которых проводилось реагирование, подверглись повторной эксплуатации ранее не устраненных уязвимостей в течение года после последнего заражения. В подавляющем большинстве случаев это стало следствием неисполнения рекомендаций, а также халатности со стороны персонала банка. Кроме того, в течение 2018 года у 29% организаций финансового сектора экспертами Group-IB были обнаружены активные заражения, о существовании которых внутренняя служба информационной безопасности ранее не подозревала. В 52% случаев обнаружены следы совершения атак в прошлом.

В 2018-м году командой реагирования Group-IB зафиксированы случаи, когда кибератака была организована в целях создания резкого негативного фона вокруг банка, провоцирующего вытеснение, а затем его уход с рынка.