хакерские атаки

Во втором квартале 2020 года произошел значительный всплеск DDoS-атак на ряд образовательных учреждений. Количество учебных заведений, которые воспользовались услугами компании по защите от DDoS-атак во втором квартале выросло в 5 раз по сравнению с первым. 

На фоне общего тренда на дистанционное образование в период карантина сильно возросла критичность ресурсов электронного образования, в связи с чем возросло и число DDoS-атак. С момента введения карантина в конце марта 2020 года многие школы и вузы перешли на дистанционный формат обучения, однако многих студентов такой формат не устроил. Сектор дистанционного образования стал новой целью хакерских атак, ученики используют DDoS-атаки для срыва уроков.

Для совершения DDoS-атак новоявленные хакеры используют свои знания в области ИТ, а также бесплатные инструменты, которые находятся в открытом доступе в Интернете в качестве инструментов для «исследования безопасности». Некоторые ученики срывают занятия, используя недорогие платные сервисы, позволяющие запустить атаку стоимостью всего лишь в несколько долларов или даже во время тестового периода.

Рамиль Хантимиров, CEO и со-основатель StormWall, отметил: «Ежегодно мы наблюдаем, как увеличивается количество атак и их максимальная мощность. За счет развития хакерского инструментария сложность атак постоянно растет. Когда случилась пандемия, изменение вектора и интенсивности атак можно связать с изменением характера использования сети Интернет. Поскольку с введением карантина обучение в школах и вузах проводится в удаленном формате, то ресурсы для дистанционного обучения стали новыми целями при осуществлении DDoS-атак. Я предполагаю, что новыми мишенями хакеров могут стать платформы для онлайн-взаимодействия внутри компаний – корпоративный VPN, порталы, средства удаленных коммуникаций».

Интернет-присутствие играет ключевую роль в работе современного бизнеса. Пандемия сделала вопрос ухода в «онлайн» еще более актуальным: теперь от того, может ли клиент обратиться в компанию не выходя из дома, зависит не только прибыль, но и выживание компании. По этой причине сегодня любому бизнесу как никогда важно подумать о защите своих Интернет-ресурсов от недоброжелателей и заранее ответить для себя на вопрос – как противостоять угрозе.

Удаленная работа сотрудников банков может чрезмерно нагрузить серверные мощности и активизирует атаки хакеров на незащищенные домашние соединения.

В связи с угрозой распространения эпидемии коронавируса, банки начали переводить сотрудников на удаленную работу.

По мнению экспертов, это может спровоцировать увеличение хакерских атак с целью хищения персональных данных и денег.

«Необходимо напомнить коллегам о базовых правилах кибербезопасности: не переходить по ссылкам в письмах от незнакомых людей, использовать надежные пароли», — напомнил старший антивирусный эксперт «Лаборатории Касперского» Денис Легезо (источник РБК).

По последним данным, в России выявлено 114 заразившихся.

Сбербанк подвергся самой мощной в истории организации DDoS-атаке в январе 2020 года, она была отражена, сообщил в интервью РИА Новости зампред банка Станислав Кузнецов.

«Вы первые, кому я говорю. 2 января 2020 года Сбербанк столкнулся с беспрецедентной DDOS-атакой, которая была в 30 раз мощнее, чем самая мощная атака за всю историю Сбербанка. Атака была выполнена с помощью автономных устройств IoT. Кстати, IoT-устройств уже в три раза больше, чем людей на планете, а к 2025 году их будет больше в пять раз. Была проведена атака на два ресурса Сбербанка, эту атаку мы выдержали в автоматизированном режиме, никаких последствий, безусловно, не было. Мы немедленно заявили об этой атаке в правоохранительные органы и передали им всю необходимую информацию», — сообщил Станислав Кузнецов.

По его словам, любая компания, которая столкнется с подобной атакой в России, испытает огромные проблемы.

«Я не исключаю, что если бы эта атака была осуществлена на какую-либо другую организацию, ее работа была бы парализована на несколько дней. Можно смело утверждать, что в 2020 году DDOS-атаки будут большой проблемой для компаний не только в России, но и по всему миру», — пояснил зампред Сбербанка.

Количество атак на системы Сбербанка в 2019 году увеличилось примерно на 15—20%, отметил Кузнецов.

«Мы фиксируем около 280—300 попыток в сутки атаковать наши системы так называемыми боевыми вирусами, которые направлены на то, чтобы получить контроль над нашими операционными системами. Мы их все выявляем и блокируем», — пояснил он.

Также, по его словам, около 50% писем, адресованных сотрудникам Сбербанка, — это спам, который блокируется нашими системами.

336 ЦБ РФ

Центробанк выявил «иные» компьютерные атаки на клиентов банков в Системе быстрых платежей (СБП).

Об этом регулятор сообщил банкам в письме за подписью директора департамента информационной безопасности Вадима Уварова, узнали «Ведомости».

СБП позволяет людям переводить деньги друг другу по номеру мобильного телефона вне зависимости от того, в каком из ее банков-участников открыты счета отправителя и получателя. Оператор СБП — Центробанк, система заработала в феврале.

В письме ЦБ называет атаками сбор информации о клиентах банков. Зная идентификатор клиента в СБП, проще говоря, номер его мобильного телефона, можно получить дополнительную информацию о человеке. Например, имя, отчество и первую букву фамилии, а также названия банков, где у него открыты счета. Такие запросы могут быть массовыми, ЦБ называет их «переборами идентификаторов клиентов» и относит к инцидентам информационной безопасности.

ЦБ предлагает бороться с переборами так, следует из письма. Национальная система платежных карт (НСПК, 100%-ная «дочка» ЦБ, операционно-клиринговый центр СБП) проводит мониторинг операций и блокирует в СБП номера телефонов, с которых осуществляется массовый перебор. Срок блокировки — не более суток. Также ЦБ будет информировать банки об идентификаторах, с которых осуществляется массовый перебор.

СБП надежно защищена с точки зрения кибербезопасности, подчеркивает представитель ЦБ. В СБП двухступенчатая система защиты, объясняет он. Первая ­­— на стороне банков, которые должны предотвращать переборы номеров. Вторая — на уровне НСПК, где выявляются запросы клиентов банков, которые не заканчиваются переводами. Такие запросы, по его словам, блокируются. Информационное письмо разъясняет порядок действий в таких случаях и еще раз обращает внимание банков на необходимость мониторинга переборов и обеспечения защиты, заключил представитель ЦБ. НСПК, говорит ее представитель, круглосуточно осуществляет мониторинг операций в СБП. По его словам, за все время выявлено лишь несколько операций перебора без цели совершения платежа, они были заблокированы.

Утром 16 сентября сайт Росстата подвергся хакерской атаке, сайт до сих пор работает с перебоями.

Причиной возникновения проблем Росстат называет так называемую DDоS-атаку (Distributed Denial of Service), пишет РБК.  При такой атаке одновременно с большого числа компьютеров направляется такое число запросов, которое способно блокировать доступ к сайту.

Новый сайт Росстата был запущен в эксплуатацию летом 2019 года. До 13 сентября он работал в тестовом режиме, с 14 сентября Росстат полностью перешел на новую версию.

Майские праздники обернулись для сотни владельцев карт «Кукуруза» хищением денежных средств. Мошенники получили доступ к логинам и паролям от мобильного и интернет-банка, а далее, пользуясь уязвимостью приложений, подключили Apple Pay и вывели средства.

Жалобы владельцев карт «Кукуруза» стали появляться на сайте Banki.ru со 2 мая, пишет «Коммерсантъ».

Жертвы атаки получили СМС, что их карта подключена к Apple Pay, сразу после этого были выведены деньги на номер Tele2. Все жертвы указывают, что СМС или пуш-уведомлений с кодом подтверждения для подключения Apple Pay они не получали.

Жертвы атаки указывали, что причин хищения две — утечка их логинов и паролей, а также возможность подключения в мобильном приложении «Кукурузы» Apple Pay без подтверждения операции СМС или пуш-уведомлением.

В «Евросети» и РНКО факт хищения средств у владельцев «Кукурузы» подтвердили, отметив, что среди 20 млн выпущенных карт доля пострадавших невелика. По словам СЕО компании «Связной/Евросеть» Александра Малиса, пострадали 80 владельцев карт.

По имеющейся информации, был взломан один из социальных сервисов, не связанный с «Кукурузой», далее злоумышленники проверяли — не совпадает ли логин и пароль на сервисе с логином и паролем в мобильном или интернет-банке. Взломанный сервис до установления всех фактов атаки не называют.

В РНКО «Платежный центр» отметили, что не были взломаны системы РНКО и его партнеров. И уверили, что нарушений положения ЦБ «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств...» допущено не было, так как оно относится к переводам денежных средств, а привязка карты к Apple Pay не является операцией по переводу. Подключение к Apple Pay было реализовано в соответствии с требованиями Apple и политиками риск-менеджмента.

​74% банков оказались не готовы к нападению кибермошенников. К такому выводу пришли эксперты-киберкриминалисты компании Group-IB (занимается реагированием на инциденты информационной безопасности, является партнером Interpol и Europol).

Выводы приводятся в сообщении Group-IB, поступившем в РБК. У 29% финорганизаций были обнаружены активные заражения вредоносными программами, а в 52% случаев выявлены следы совершения атак в прошлом.

По мнению Group-IB, большинство финансовых организаций, ставших жертвами хакерских атак, не имело плана реагирования на них, не могло в сжатые сроки мобилизовать работу профильных подразделений, организационно и технически противостоять действиям атакующих. Эксперты отметили низкий уровень подготовки персонала: в 70% организаций профильные навыки по поиску следов заражения и несанкционированной активности в Сети отсутствуют или недостаточны. Столько же не имеют четких процедур по самостоятельному выявлению вредоносного ПО, а в 60% пострадавших банков не способны централизованно и оперативно сменить пароли.

Халатность сотрудников — еще одна причина уязвимости банков. Не менее 17% компаний, которые среагировали на инцидент, подверглись повторной атаке в течение года после последнего заражения.

Однако банки с такими выводами не согласны. В Сбербанке считают, что банковская отрасль лучше готова к кибератакам по сравнению с большинством других российских отраслей.

Представитель Промсвязьбанка также считает, что крупные и средние банки достаточно хорошо подготовлены к отражению кибератак и имеют хорошо организованную систему обеспечения информбезопасности.

Минфин разрешил списывать убытки от хакерских атак во внерализационные расходы по прибыли. Это следует из письма № 03-03-06/1/92021 от 17.12.2018 г.

Однако сделать это можно только при наличии документов, подтверждающих факт отсутствия виновных лиц, выданных уполномоченным органом власти, поскольку таково требование подпункта 5 пункта 2 статьи 265 Налогового кодекса РФ.

Письмо стало ответом на запрос компании, у которой обманным путем выманили деньги, пишет «Коммерсант». Хакеры взломали почту контрагента, от его имени выслали счет на оплату. По факту деньги компании ушли на счет фирмы-однодневки.

В ответ на запрос «Ъ» в Минфине подчеркнули, что в данном письме распространили на хищения с расчетного счета в банке позицию, уже неоднократно высказывавшуюся в отношении хищений товарно-материальных ценностей. Там уточнили, что основанием для признания убытка может служить лишь возбуждение уголовного дела, а затем вынесение постановления о невозможности установить виновных: «Документ об отказе в возбуждении уголовного дела говорит о том, что хищения не было, следовательно, это не распространяется на цитируемую норму».

Однако есть сложность: специалисты по информбезопасности крупнейших банков утверждают, что правоохранительные органы в случае подобных хищений часто под разными предлогами избегают возбуждения уголовного дела или же «отфутболивают его материалы от одной инстанции к другой, ожидая, что клиент сам заберет заявление».

Зато возможность учесть убыток для целей налогообложения не исключает, что похищенные средства компания взыщет со своего должностного лица. Например, главбуха, который не сверил лишний раз реквизиты или же не отреагировал на СМС о списании средств. Такие прецеденты уже есть. Юристы рассказывают, что в 2018 году с компания взыскала с гендиректора украденные хакерами 7 млн.рублей, потому что он пропустил смску о списании денег с банковского счета.

В 2018 году число DDoS-атак на онлайн-кассы в России выросло в 8 раз по сравнению с прошлым годом. О результатах исследования компании Qrator Labs, занимающейся противодействием подобным атакам, пишет РБК.

В среднем в день в 2018 году по всему миру происходило 255 DDoS-атак (атака, при которой злоумышленники отправляют большое количество запросов к ресурсу из разных точек пока он не перегрузится и не станет недоступен для пользователей).

В предыдущие годы среднесуточный показатель был ниже: в 2017-м — 180, в 2016-м — 100 атак.Наибольший рост количества DDoS-атак, на 836% по сравнению с 2017 годом, в России был зафиксирован на рынке онлайн-касс. Что вполне понятно, поскольку новая система ККТ только появилась в 2017 году.

Однако атаки идут не на сами онлайн-кассы, а на те серверы, на которые кассы отправляют данные. Производители онлайн-касс проблемы не видят критических последствий таких атак.

Как пояснил IT-директор «Эвотора» Юрий Юрьев, объектом DDoS-атаки могут стать серверы в интернете, а онлайн-кассы не являются такими серверами. «В случае атаки работоспособность касс не будет нарушена, они могут работать долгое время в автономном режиме. Пострадать могут лишь дополнительные сервисы в интернете, которые производители касс предлагают клиенту, — личный кабинет с аналитикой по продажам, магазин приложений и т.д., но они не являются критичными с точки зрения работы конечного устройства, которое выдает чеки, и не влияют на работу бизнеса», — объяснил он. Нельзя атаковать напрямую телефон или планшет: атакуется приложение в телефоне, но на основных функциях устройства это не отразится, привел он пример. По его словам, компания не сталкивалась с DDoS-атаками в 2018 году.

Российские банки с сентября стали массово получать электронные письма с вирусом якобы от имени госучреждений.

«Злоумышленники отправили более 11 тыс. писем с фейковых почтовых адресов российских госучреждений - все они содержали троян RTM, предназначенный для кражи денег из сервисов дистанционного банковского обслуживания и платежных систем. В среднем, одно успешное хищение такого типа приносит злоумышленникам около 1,1 млн рублей», - сообщает компания из сферы кибербезопасности Group-IB.

Рассылки продолжаются до сих пор. Только за первые несколько дней декабря было отправлено 784 вредоносных письма, передает ИА ТАСС.

Рассылки проходили с 2,9 тыс. различных электронных адресов, которые подделаны под адреса госучреждений. По данным Group-IB, среди госучреждений, от имени которых рассылались письма, - региональные управления Роспотребнадзора, Россельхознадзора, Ростехнадзора, Росприроднадзора, Минтруда, УФСИН, прокуратуры и судов.

Письма были замаскированы под служебные документы, например, «Оплата август – сентябрь», «Копии документов», «Служебная записка», «Отправка на четверг».

Банковский троян RTM с 2016 года используют хакеры из одноименной группировки.

«Среди потенциальных жертв RTM - банки, до сих пор игнорирующие установку средств защиты от целевых атак хакерских групп, а также те, кто редко проверяет текущее состояние инфраструктуры на предмет обнаружения подозрительной активности внутри периметра банка», - пояснил руководитель департамента сетевой безопасности Group-IB Никита Кислицин.

682 ФАС

Системы Федеральной антимонопольной службы подверглись хакерской атаке, пишет РБК.

На адреса ФАС началась массовая рассылка вируса, который ворует служебные логины и пароли. Параллельно шла атака на информационные ресурсы ФАС с целью взлома.

В ведомстве подчеркнули, что оперативно отреагировали на распространение вредоноса, которое произошло накануне, 14 ноября, заверив, что никто в результате инцидента не пострадал.

 

За 8 месяцев прошлого года в результате целевых хакерских атак банки лишились 1,078 млрд рублей, за аналогичный период 2018 года – 76,5 млн рублей, говорится в отчете Центра мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере (ФинЦЕРТ) Банка России.

Этому в большой степени способствует информационный обмен между ФинЦЕРТ и банками, пояснили в пресс-службе ЦБ.

«Защищенность информационных систем финансовых организаций растет, и это является фактором снижения объема доходов киберпреступников»,  – отмечает заместитель Председателя ЦБ Дмитрий Скобелкин. Поэтому высокотехнологичных и сложных атак, по его словам, будет становиться все меньше, и в будущем злоумышленники сосредоточатся на наиболее уязвимом звене финансовой системы – человеке.

В отчете отмечается возросшая активность кибермошенников в социальных сетях с использованием методов социальной инженерии.

Увеличивается число взломов аккаунтов и рассылка по списку контактов их владельцев просьб об оказании материальной помощи.

В ФинЦЕРТ ожидают, что по мере снижения доходов от прямых атак на кредитные организации преступники будут уделять компьютерам и аккаунтам граждан все больше внимания, поэтому специалисты рекомендуют быть более внимательными и осторожными при общении с незнакомыми лицами в Интернете.

«Киберпреступники, использующие методы социальной инженерии, пытаются создать для потенциальной жертвы стрессовую ситуацию и требуют быстрого принятия решений, пока человек не опомнился. Эксплуатируются чувства страха, растерянности, стремление к легкому обогащению. Этим объясняется неизменный успех атак с использованием социальной инженерии», – отмечает первый заместитель директора Департамента информационной безопасности ЦБ Артем Сычев.

Доступ к счетам юрлиц и ИП злоумышленники получают в основном через рассылки фишинговых электронных писем. При этом сравнительно недавно появился новый вид атак – так называемый watering hole. Эти атаки осуществляются через скомпрометированные порталы популярных в деловой среде интернет-ресурсов. При посещении пользователем взломанного сайта браузер незаметно для него загружает и исполняет вредоносный код.

Из Банка жилищного финансирования хакеры из группировки «Кобальт» вывели 100 тыс. долларов через шлюзы платежных систем.

Вредоносный вирус попал в банк с помощью фишингового письма, которое было отправлено якобы от имени Альфа-банка, пишет «Коммерсантъ».

Обычно платежная система и банк настраивают лимиты на переводы — как на общий размер переводов в течение дня, так и на максимальную сумму перевода, на количество однотипных переводов и т. д. Это своего рода защита от несанкционированных списаний.

Однако в этот раз хакеры взломали АБС банка, увеличили установленные лимиты на перевод и через шлюзы платежных систем вывели деньги на банковские карточки, а затем обналичили.

По информации правоохранителей, вирус попал и в другие кредитные организации. Все они имеют низкий уровень информационной безопасности. Чтобы предотвратить волну хищений, необходимо наделить ЦБ полномочиями на проведение внеплановых проверок банков на предмет информационной безопасности, полагают правоохранители.

 

Россельхознадзор сообщил о хакерской атаке типа DDoS на один из серверов Федеральной государственной информационной системы в области ветеринарии (ВетИС).

Этот сервер обеспечивает работу систем «Меркурий» (ветеринарная сертификация) и «Аргус» (разрешений на ввоз/вывоз/транзит продукции).

Атака была произведена 13 августа в период с 03:06 по 03:13 МСК

Несмотря на то, что продолжительность и интенсивность (объем) атаки была относительно небольшой, Россельхознадзор отмечает два момента:

1. Атака направлена адресно на систему «Меркурий» (одну из 13 входящих в ВетИС).

2. Время атаки – это начало отгрузок и начало оформления сопроводительных документов, в том числе массового оформления эВСД, большинства производителей пищевой продукции в адреса розничных складов и магазинов, находящихся в центральной части России. Сбой работы системы именно в это время имел бы наибольший негативный эффект.

Ведомство считает, что атака могла быть не случайной и/или могла носить подготовительный характер. 

Собранные сведения переданы в компетентные органы для проведения проверки.

Россельхознадзор просит пользователей «Меркурия» уделить пристальное внимание правильной настройке оборудования и обеспечению своих объектов интернет - соединением с достаточной скоростью во избежание затруднений при доступе к web-интерфейсу системы во время возможных атак в будущем.

Выборочные остановки операций по картам Сбербанка, когда клиенты об этом не просили, вызывают много жалоб, но это необходимо для противодействия хакерам, сообщил в ходе Международного конгресса по кибербезопасности глава Сбербанка Герман Греф.

«Мы мониторим каждую операцию, каждого клиента, стараемся понять необычные операции, останавливаем их, много жалоб получаем от клиентов, когда мы останавливаем операции, которые клиенты останавливать не хотели. Но тем не менее, это серьезная проблема (кибербезопасности — ред.)», — передает слова Грефа РИА Новости.

Он подчеркнул, что банк сейчас нуждается в помощи государства, в государственных программах, в сотрудничестве с масс-медиа, «чтобы до каждого довести правила гигиены кибербезопасности».

«Это можно сделать только вместе. И это очень серьезная задача для всех, и это не сделать щелчком пальцев, несмотря на использование нами сейчас тотально во всех наших операциях искусственного интеллекта», — сказал он.

 

Банки и операторы услуг платежной инфраструктуры с 1 июля 2018 года обязаны сообщать в ФинЦЕРТ Банка России о хакерских атаках и их технических параметрах. Раньше они делали это на добровольной основе.

Указание Банка России № 4793-У от 07.05.2018 закрепило данное требование к банкам как обязательное.

Полученную от банков информацию регулятор будет использовать для выработки рекомендаций участникам финансового рынка по противодействию выявленным киберугрозам, сообщает пресс-служба ЦБ.

К таким киберугрозам относятся события, связанные с несанкционированными переводами денежных средств и нарушением бесперебойности оказания платежных слуг, в том числе несанкционированный доступ к устройству, эксплуатация уязвимости, вредоносный код, DDoS-атака, подбор паролей, фишинг и т.д.

Теперь для повышения качества защиты от киберугроз кредитные организации должны использовать для перевода денежных средств только сертифицированное программное обеспечение и проводить его периодическое тестирование. При этом оценивать соответствие уровня защиты будут организации, имеющие лицензию Федеральной службы по техническому и экспортному контролю (ФСТЭК). Станет обязательным и оценивание выполнения требований к обеспечению защиты информации при переводах денежных средств сторонними организациями, привлекаемыми к проведению оценки соответствия.

Документ также формирует правовую основу для импортозамещения в инфраструктуре значимых платежных систем российскими средствами криптографической защиты информации, имеющими подтвержденное соответствие требованиям, установленным ФСБ.

Кроме того, нормативный акт Банка России вводит условие об обязательном разделении программных сред подготовки и подтверждения платежных поручений, в том числе при использовании систем дистанционного банковского обслуживания. Это поможет защитить клиентов банков от хакерских атак.

Банк России с 1 июля 2018 года меняет для банков – операторов по переводу денежных средств и операторов услуг платежной инфраструктуры форму отчетности о событиях, связанных с нарушением защиты информации при переводе средств. 

Кроме того, Банк России обязал банки сообщать об инцидентах, связанных с нарушением защиты информации при переводе средств, об экономических последствиях кибератак. Об этом говорится в сообщении регулятора.

«В частности, операторы будут сообщать в Банк России о том, на какие суммы за отчетный период покушались злоумышленники, какие суммы удалось похитить. Важным показателем будет сумма похищенных средств, возвращенных оператором своим клиентам», - пояснил ЦБ.

Благодаря полученным данным ЦБ сможет оценить, насколько добросовестно операторы исполняют обязанности по возмещению потерь клиентам.

Хакеры провели 11 успешных атак с помощью вируса Cobalt Strike на российские банки в 2017 году и похитили 1,156 миллиарда рублей. Об этом сообщил замглавы Центробанка Дмитрий Скобелкин.

«Всего за 2017 год было зарегистрировано не менее 21 волны атак Cobalt Strike. Атакам подверглись более 240 кредитных организаций, из них успешных атак было 11», — передает его слова «Парламентская газета».

По его словам, 8 из 11 пострадавших банков являются участниками информационного обмена с Центром мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере при ЦБ, который направил более чем 400 организациям индивидуальные предупреждения об атаках с указанием адресов электронной почты, с которых приходили заражённые письма.