Group-IB, международная компания, специализирующаяся на предотвращении кибератак, и группа компаний Simple, один из крупнейших импортеров и дистрибьюторов высококачественной алкогольной продукции на российском рынке, сообщают об успешном внедрении комплекса для проактивного обнаружения киберугроз — Threat Detection System (TDS). Благодаря TDS Simple уже на этапе тестирования смог защититься от вредоносной рассылки под видом письма от ФНС России и вычислил в своей инфраструктуре троян-майнер Coinminer, который не обнаружили стандартные средства защиты: антивирусы, межсетевые экраны и системы предотвращения вторжений.
Ритейл является одной из наиболее чувствительных к киберинцидентам отраслей — один день простоя производства может грозить компаниям потерями нескольких сотен миллионов рублей. Основными киберугрозами для ритейла, по данным аналитиков Threat Intelligence, в настоящее время являются вирусы-шифровальщики, программы-майнеры, а также взлом и хищение денег со счетов или персональных данных клиентов.
По данным CERT-GIB в первом квартале 2020 года подавляющее большинство кибератак начинались с почтовых рассылок, которые содержали «на борту» программы-шпионы (43%), загрузчики (17% ), бэкдоры (16%) и банковские трояны (15%).Шифровальщики не исчезли со сцены — просто хакеры уже не прячут их непосредственно в архив письма, а устанавливают сначала на машину жертвы бэкдор или банковский троян, проводят разведку, захватывают сеть, и только потом распространяют шифровальщик на компьютеры в сети.
Опасное письмо не пройдет
В ходе тестирования у Simple TDS Group-IB продемонстрировала преимущество перед другими решениями. Летом 2020 года Polygon TDS успешно задетектировала и заблокировала почтовую рассылку якобы от ФНС России, которая содержала вредоносные вложения. Файл представлял из себя программу RMS (Remote Manipulator System). Хотя данная утилита и является легальным инструментом для удалённого управления компьютером, разработанная российской компанией TektonIT, злоумышленники модифицировали программу таким образом, что при запуске они получали полный удаленный контроль над атакованным компьютером. Письма, направленные в адрес клиентов, были классифицированы TDS как вредоносные и успешно заблокированы.
«Технология глубокого анализа файлов и детонации вредоносных нагрузок Group-IB Polygon позволяет существенно поднять защищенность любого предприятия по ключевым векторам начального проникновения, — уверен Никита Кислицин, Руководитель Департамента сетевой безопасности Group-IB. — Мы очень рады, что наша технология и формат ее поставки в виде облачного сервиса Polygon Cloud были по достоинству оценены и приняты на вооружение таким интересным клиентом, как Simple Group».
Пришел, увидел, победил
Еще один эпизод, связанный с обнаружением трояна-майнера, произошел непосредственно в самом начале тестирования. Сразу после установки TDS Sensor, модуль сигнатурного анализа трафика и выявления сетевых аномалий, зафиксировал подозрительную активность, квалифицированную как троян-майнер Coinminer. Опасность в том, что майнинг (криптоджекинг) — это не только прямые финансовые потери вследствие повышенных затрат на электричество, но и угроза устойчивости и непрерывности бизнес-процессов в силу замедления работы корпоративных систем и повышенной амортизации аппаратных средств.
Сотрудники ИТ-службы Simple оперативно провели сканирование сети несколькими антивирусами крупнейших российских и европейских производителей, но задетектировать активность с помощью обычных антивирусных программ не удалось.TDS Sensor позволил «вычислить», откуда исходила угроза. Simple оперативно заблокировал необходимые службы на «майнящих» хостах и, следуя рекомендациям экспертов Лаборатории компьютерной криминалистики Group-IB, ликвидировал опасность.
«Мы иногда даже забываем, что у нас стоит система TDS, так мало ложных срабатываний, — признается Владимир Бондарев, руководитель управления инфраструктуры и поддержки, Дирекция информационных технологий Simple Group. — Пользовательский интерфейс максимально продуман. Не нужно много ресурсов, чтобы научиться полноценно управлять системой, всё интуитивно понятно и на своём месте. В результате внедрения TDS у нас значительно увеличилось время ИБ-специалистов, которое, наконец, они могут потратить на развитие всей инфраструктуры, внедрение новых технологий и обучению и повышению квалификации».
Семейство продуктов Group-IB Threat Detection System — это комплексное решение для защиты от сложных киберугроз, основанное на технологиях слежения за киберпреступниками, их инструментами и инфраструктурой.
Group-IB TDS Polygon – высокотехнологичная система раннего выявления кибератак. Group-IB TDS Polygon выносит вердикт о степени опасности объекта на основании классификатора, формируемого системой поведенческого анализа.
TDS Sensor выявляет коммуникации зараженных устройств с командными центрами, общие сетевые аномалии и необычное поведение устройств. Кроме того, TDS Sensor извлекает потенциально опасные объекты, передаваемые по сети организации, для анализа в системе TDS Polygon.
За управление инфраструктурой и анализ данных отвечает TDS Huntbox. Новый модуль в составе семейства TDS обеспечивает внутренний и внешний Threat Hunting (охота за угрозами), агрегирует и хранит все данные с других модулей, позволяя осуществлять ретроспективный анализ атаки, корреляцию и исследование различных событий, а также атрибуцию до конкретной группы атакующих. Запатентованные технологии продуктов используют передовую экспертизу и эксклюзивную разведывательную информацию Group IB Threat Hunting Intelligence.
Все компоненты Group-IB TDS тесно интегрируются друг с другом. Наличие единой консоли управления TDS Huntbox, круглосуточный мониторинг событий силами специалистов СERT-Group-IB, а также аналитическая поддержка специалистов при инцидентах информационной безопасности, обеспечивают надежную превентивную защиту бизнеса от киберугроз.
Дополнительная информация:
Группа компаний Simple – один из ведущих игроков в импорте вина, крепких спиртных и безалкогольных напитков в России, национальный дистрибьютор и ритейлер с собственной динамично развивающейся сетью винотек SimpleWine. В портфеле компании более 4000 вин из 45 стран, уникальная коллекция брендов крепких спиртных напитков в каждой значимой категории, минеральной воды и натуральных соков, профессионального стекла и аксессуаров.
Уже более 25 лет Simple приобщает жителей России к мировой эногастрономической культуре и развивает образовательные проекты. В группу компаний также входит розничный бизнес SimpleWine (винотеки и онлайн-витрина SimpleWine.ru), винные рестораны Grand Cru и Simple Bar, медиа группа Simple Media и школа вина «Энотрия».
Group-IB — один из ведущих разработчиков решений для детектирования и предотвращения кибератак, выявления мошенничества и защиты интеллектуальной собственности в сети со штаб-квартирой в Сингапуре. Система сбора данных о киберугрозах Group-IB Threat Intelligence признана одной из лучших в мире по версии Gartner, Forrester, и IDC.
В основе технологического лидерства компании и возможностей в сфере научных исследований и разработки – 17-летний практический опыт расследования киберпреступлений по всему миру и более 60 000 часов реагирования на инциденты информационной безопасности, аккумулированные в одной из крупнейших лабораторий компьютерной криминалистики и круглосуточном центре оперативного реагирования CERT-GIB. Компания является резидентом «Сколково». Group-IB — партнер INTERPOL и Europol, поставщик решений в сфере кибербезопасности, рекомендованный ОБСЕ.
Опыт Group-IB в поиске угроз и киберразведке был интегрирован в спектр решений, объединивший чрезвычайно сложное программное и системное обеспечение, с целью мониторинга, обнаружения и предотвращения кибератак.
Миссия Group-IB – защищать наших клиентов в киберпространстве, создавая и используя инновационные продукты и решения.
http://www.group-ib.ru