ARinteg.ru

  • Москва
  • Ростов-на-Дону
  • Кемерово
  • Новосибирск

  • +7 (495) 221 21 41
  • +7 (863) 320 09 60
  • +7 (384) 221 56 41
  • +7 (495) 221 21 41
ARinteg Вконтакте Дзен ARinteg Arinteg Telegram home print mail site-map               

Безопасность банков. Интересные наблюдения 2019 года

22.07.2019

Продолжаем разбирать «Обзор основных типов компьютерных атак в кредитно-финансовой сфере» от ФинЦЕРТ. И хотим поделиться интересными выводами его авторов.

• Список самого распространенного вредоносного ПО остался неизменным по сравнению с 2018 годом. В начале 2019 г. специалисты JSOC CERT по-прежнему сталкивались с рассылками Loki Bot, Adwind RAT, FormBook, Scarab, Trickbot, AZORult.

• Продолжаются атаки на банки с использованием трояна RTM. Анализ образцов начала 2019 г. выявил, что он был несколько раз модифицирован с целью предотвращения обнаружения и повышения надежности работы. Троян несколько раз менял «оболочку» и получил возможность общения с CnC-серверами, расположенными в сети TOR.

• В течение I квартала 2019 г. фиксировались массовые фишинговые рассылки шифровальщика Troldesh на крупные российские компании. Это была первая в России фишинговая атака, осуществлявшаяся с роутеров, доступных из сети Интернет по административным портам, и имевших ненадежные логин и пароль.

• В марте были обнаружены попытки заражения ряда банков вредоносным ПО семейства Emotet. Злоумышленники взламывали общедоступные ресурсы с уязвимой версией WordPress, загружали на них вредоносные файлы и затем рассылали по электронной почте ссылки на эти ресурсы.

• Хакеры перенимают друг друга лучшие практики. В этом году все чаще используется техника «бесконечного цикла» для обхода средств защиты. При этом загрузчик вредоносного ПО скачивает его на сервер / рабочую станцию не сразу, а через какое-то время. Таким образом, если загрузчик изначально попадает в «песочницу», его вредоносная функциональность остается нераскрытой, а аналитики не могут получить основное тело ВПО для последующего анализа. Эта техника ранее использовалась группировкой Silence, но сейчас постепенно становится более массовым инструментом.

• В 2019 г. стало известно о том, что архив с исходными кодами вредоносного программного обеспечения группировки Carbanak/Fin7 лежит на сервисе VirusTotal с 2017 года. Сам архив можно использовать как инструкцию для тех, кто занимается или хотел бы заниматься разработкой вредоносного кода. Поэтому можно сделать вывод, что изучением хорошо документированного кода начали заниматься не только специалисты по информационной безопасности, но и хакеры.

• Между тем сама группировка Fin7 не прекратила свои атаки на банковский сектор. Злоумышленники обновили арсенал и сейчас используют модули вредоносного программного обеспечения, написанные на языке JavaScript, распространяя его с помощью фишинговых писем с высочайшим уровнем подготовки. При этом в начале 2019 г. группировка пока обходила стороной российские организации. Но с учетом истории, репутации и уровня подготовки Fin7 необходимо всегда быть готовыми к новой атаке.

Таким образом, в ближайшем будущем не следует ожидать существенного снижения количества и опасности компьютерных атак в кредитно-финансовой сфере. Тем более важным остается системный подход к обеспечению информационной безопасности финансовых организаций - именно такой подход использует в своей работе компания ARinteg.  

Возврат к списку

qrcode
ARinteg Вконтакте   Дзен ARinteg   Arinteg Telegram