Эксперты Positive Technologies, лидера в области результативной кибербезопасности, проанализировали киберугрозы для кредитно-финансового сектора[1]. В III квартале 2023 года количество уникальных атак на компании этой отрасли увеличилось вдвое по сравнению с аналогичным периодом прошлого года. В первую очередь злоумышленники атакуют наименее защищенные организации и их клиентов. Чаще всего они применяли вредоносное ПО. Доля шифровальщиков в таких инцидентах выросла в 3,5 раза. Кроме того, хакеры стали чаще использовать уязвимости на сетевом периметре и компрометировать финансовые компании через атаки на цепочки поставок. Полученные базы данных и доступы злоумышленники перепродают на теневых площадках. Вместе с этим интерес к атакам на кредитно-финансовые организации продолжают проявлять хактивисты. Исследование было представлено на международном форуме кибербезопасности государства «Цифротех».
По итогам трех кварталов 2023 года большинство атак (35%) хакеры совершили с использованием вредоносного ПО. В 63% инцидентов применялись шифровальщики, годом раннее на них приходилось 18%. Доля социальной инженерии в используемых методах атак снизилась с 47% до 25%. Исследователи Positive Technologies связывают это с возросшей популярностью других способов атаки.
Аналитики зафиксировали значительное увеличение числа инцидентов, в которых использовались уязвимости на сетевом периметре (32% случаев). Кроме того, отмечается существенная доля инцидентов (22%), в которых ключевым способом компрометации стала атака на цепочку поставок. Нередко в таких инцидентах вредоносный код распространялся через ПО с открытым исходным кодом. В одной из атак злоумышленники даже создали фейковую страницу на LinkedIn, где выдавали себя за сотрудника банка-жертвы, чтобы подмена кода на вредоносный не была обнаружена. В Positive Technologies считают, что подобные атаки могут стать трендом ближайших лет, если учитывать тенденции на повсеместное использование ПО с открытым исходным кодом в собственных разработках компаний, в том числе в финансовых организациях.
Эксперты Positive Technologies рекомендуют финансовым компаниям отслеживать использование сторонних компонентов в собственных разработках и проверять их на наличие закладок и уязвимостей.
«Наше исследование выявило низкий уровень защищенности сетевых периметров компаний по всему миру, — комментирует директор департамента аналитики информационной безопасности Positive Technologies Евгений Гнедин. — Это подтверждают и результаты тестирований на проникновения в сети финансовых организаций, проведенных нашими экспертами в 2023 году. Специалисты получили доступ к корпоративной локальной вычислительной сети всех протестированных банков, использовав уязвимости ПО, которое было доступно для подключения из интернета. Только один банк имел хорошую защиту, но эксперты нашли и проэксплуатировали уязвимость нулевого дня. Это доказывает, что замотивированный злоумышленник сможет проникнуть в инфраструктуру даже хорошо защищенного банка. В связи с этим финансовым компаниям необходимо выстраивать такие системы безопасности, которые не позволят хакерам нанести бизнесу неприемлемый ущерб даже в случае успешной атаки».
Среди последствий атак по-прежнему чаще всего встречаются утечки данных, их число увеличилось с 51% до 64%. В общей статистике по всем изученным объявлениям в дарквебе и на профильных телеграм-площадках[2] доля сообщений, связанных с базами данных, составляет 42%. В 43% из них файлы распространяются бесплатно: часто хакеры так наказывают компании за отказ от уплаты выкупа. Доля объявлений о продаже свежих данных и услугах инсайдеров составляет 30%. Стоимость половины баз из проанализированных источников не превышает одной тысячи долларов, а одна строка оценивается примерно в пять долларов. На сообщения о покупке баз приходится 29% — такую высокую долю эксперты Positive Technologies объясняют тем, что злоумышленники целятся в конкретные организации. В финансовом секторе 98% всех инцидентов приходятся именно на целевые атаки.
С каждой новой утечкой злоумышленники получают все больше информации, которая помогает им повышать эффективность своих схем. Зачастую базы данных отечественных финансовых компаний выкладывают негативно настроенные в отношении России злоумышленники. На фоне обостренной геополитической ситуации в мире хактивизм не теряет своей актуальности. На теневых рынках большинство объявлений о продаже и покупке услуг имеют указание на конкретный регион — Россия и СНГ лидируют в этом рейтинге с долей 14%.
«Хактивисты атакуют отдельные компании, при этом конечной их целью является дестабилизация финансовой системы страны в целом, — говорит советник генерального директора Positive Technologies Артем Сычев. — Злоумышленники рассчитывают на панические настроения населения, вызывают недоверие граждан к финансовым институтам и государственной власти. В этих условиях финансовым компаниям целесообразно выстраивать защиту так, чтобы недопустимые события не могли быть реализованы: это обеспечит высокие показатели операционной надежности».
Эксперт также подчеркнул необходимость централизованного подхода при решении растущих проблем кибербезопасности. Такой подход должен включать координацию реагирования на угрозы на отраслевом уровне, а также анализ возможных цепочек событий, которые могут привести к фатальным последствиям.
Для борьбы с киберугрозами финансовому сектору рекомендуется использовать современные средства безопасности, такие как решения мониторинга событий ИБ и выявления инцидентов (MaxPatrol SIEM), системы защиты конечных точек от сложных и целевых атак (MaxPatrol EDR), продукты для обнаружения уязвимостей и эффективного управления ими (MaxPatrol VM), а также риск-ориентированную песочницу, которая подстраивается под каждую компанию индивидуально и обнаруживает сложное вредоносное ПО в файлах и трафике (PT Sandbox). Для получения комплексной защиты с минимальным привлечением человеческих ресурсов можно использовать автопилот для результативной кибербезопасности (MaxPatrol O2).
[1] В исследовании рассматриваются итоги первых трех кварталов 2023 года. Аналитика основана на собственной экспертизе Positive Technologies, а также аналитических отчетах ведущих компаний, специализирующихся на кибербезопасности, и данных проверенных новостных ресурсов, агрегирующих информацию о киберинцидентах. В выборку организаций включены не только банки, но и некредитные финансовые организации (страховые компании, профессиональные участники рынка ценных бумаг, инвестиционные фонды и другие).
[2] В ходе исследования эксперты Positive Technologies проанализировали 236 телеграм-каналов и форумов в дарквебе с общим количеством пользователей 16 734 680 и общим числом сообщений 112 812 462. В выборку попали крупнейшие разноязычные площадки с различной тематической направленностью.