кибератаки

Вирусная лаборатория ESET опубликовала отчет о деятельности кибергруппы RTM, атакующей российские организации. Для кражи средств у компаний хакеры подменяют реквизиты исходящих платежей в транспортных файлах 1С.

  • Группировка RTM использует специально разработанные программы, написанные на языке программирования Delphi. Система телеметрии ESET LiveGrid® зафиксировала первые следы этих вредоносных инструментов в конце 2015 года. Функционал RTM включает перехват нажатия клавиш, чтение смарт-карт, загрузку в зараженную систему новых модулей, мониторинг процессов, связанных с банковской деятельностью.
В фокусе атакующих – бухгалтерские системы, взаимодействующие с решениями дистанционного банковского обслуживания (ДБО). Вредоносное ПО RTM распространяется преимущественно через взломанные сайты (drive-by download) и спам. Эти инструменты удобны для таргетированных атак, поскольку в первом случае атакующие могут выбирать площадки, посещаемые потенциальными жертвами, а во втором – отправлять письма с вредоносными вложениями напрямую нужным сотрудникам компаний.

Вредоносное ПО RTM отслеживает появление в зараженной системе транспортного файла 1c_to_kl.txt. Его формирует программа «1С: Предприятие 8» для передачи платежного поручения из бухгалтерской системы в систему ДБО. Текстовый файл содержит детали исходящих платежей. Подменив реквизиты получателя, хакеры могут перевести средства компании на свои счета.  

Схожие методы кражи средств использовала кибергруппировка Buhtrap, активная в 2014-2015 гг. Тем не менее, у этих групп различаются векторы заражения – в кампаниях Buhtrap чаще использовался фишинг. В прошлом атаки на российские системы ДБО практиковала кибергруппа Corkow.

Общее число обнаружений вредоносных программ семейства RTM невелико. С другой стороны, в кампании используются сложные кастомные инструменты, что свидетельствует о высокой таргетированности атак.

По оценке экспертов ESET, снизить риск кражи средств позволяет шифрование платежных поручений, двухфакторная аутентификация, антивирусная защита корпоративной сети, обучение персонала основам информационной безопасности. 

Более подробная информация о киберкампании RTM, включая индикаторы заражения, представлена в отчете ESET.

Сбербанк в прошлом году подвергся 78 мощным кибератакам, рассказал зампред правления банка Станислав Кузнецов.

"Мощных атак, которые мы зафиксировали, за прошлый год, было 78. Это там, где есть реальные шансы остановить работу каких-либо IT-систем. В декабре мы фиксировали самую длинную (за прошлый год — ред.) атаку, на несколько часов, а в ноябре была достаточно уникальная попытка провести атаки не со стороны командных центров, а со стороны интернет-вещей", — сказал он в интервью «РИА Новости».

По словам Кузнецова, подобные уникальные атаки в ноябре испытали еще примерно пять-семь банков. "Это означает, что вирусы удаленного управления операционными системами были посажены на камеры, телевидение, приемники, бытовые приборы, которые имеют соединение с интернетом… Это особенная ситуация, которая была призвана обойти традиционные меры защиты, которые используют различные компании", — объяснил представитель он.

По его словам, крупные банки, включая Сбербанк, такого рода атаку в ноябре выдержали успешно, но ряд банков, которые чуть поменьше, вышли из этой атаки с небольшими потерями. Кузнецов добавил, что была собрана уникальная техническая информация об особенности проведения такой атаки. Она была проанализирована, в том числе, специалистами Сбербанка, и были приняты дополнительные меры противодействия подобным атакам. "В мире подобного рода атак было не так много", — констатировал зампред правления Сбербанка.

Правительство во вторник внесло на рассмотрение Госдумы законопроект, который вводит уголовную ответственность до 10 лет лишения свободы за создание программ для атак на критическую информационную инфраструктуру (КИИ) РФ. Поправки в Уголовный кодекс внесены "в пакете" с проектом базового закона о безопасности критической информационной инфраструктуры РФ.

В частности, предусматриваются санкции за "создание и (или) распространение компьютерных программ либо иной компьютерной информации, заведомо предназначенных для неправомерного воздействия на КИИ РФ, включая уничтожение, блокирование, модификацию, копирование информации, содержащейся в ней, или нейтрализацию средств защиты указанной информации". Это преступление планируется наказывать штрафом в размере от 500 тыс. до 1 млн руб. или в размере зарплаты или иного дохода осужденного за период от года до трех лет, либо принудительными работами на срок до пяти лет, либо лишением свободы на тот же срок.

Если преступление повлечет тяжкие последствия или создаст угрозу их наступления, оно будет караться лишением свободы на срок от пяти до десяти лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до пяти лет или без такового, пишет ТАСС.

Под критической информационной инфраструктурой РФ подразумевается "совокупность объектов критической информационной инфраструктуры, а также сетей электросвязи, используемых для организации взаимодействия объектов критической информационной инфраструктуры между собой".

Также оговаривается наказание за "неправомерный доступ к охраняемой компьютерной информации, содержащейся в КИИ РФ, в том числе с использованием компьютерных программ либо иной компьютерной информации, которые заведомо предназначены для неправомерного воздействия на КИИ РФ, или иных вредоносных компьютерных программ, если он повлек причинение вреда КИИ РФ или создал угрозу его наступления". Эти действия будут наказываться штрафом в размере от 1 млн до 2 млн рублей или в размере зарплаты или иного дохода осужденного за период от трех до пяти лет либо лишением свободы на срок до шести лет со штрафом в размере от 500 тыс. до 1 млн рублей или в размере зарплаты или иного дохода осужденного за период от года до трех лет или без такового.

Еще в одном подпункте прописаны санкции за нарушение правил эксплуатации средств хранения, обработки или передачи охраняемой компьютерной информации, содержащейся в КИИ РФ, или информационных систем, информационно-телекоммуникационных сетей и их оконечного оборудования, относящихся к КИИ РФ, либо правил доступа к указанной информации, информационным системам, информационно-телекоммуникационным сетям и их оконечному оборудованию, если оно повлекло причинение вреда КИИ РФ или создало угрозу его наступления. За это будут грозить принудительные работы на срок до пяти лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет или без такового либо лишение свободы на срок до шести лет.

Если указанные деяния будут совершены группой лиц по предварительному сговору или организованной группой лиц или лицом с использованием своего служебного положения, судья сможет назначить принудительные работы на срок до пяти лет либо лишение свободы на срок от трех до восьми лет.



 

Случаи взлома китайскими хакерами серверов российских организаций за первые семь месяцев 2016 года по сравнению со всем 2015 годом почти утроились — до 194 случаев, сообщает Bloomberg со ссылкой на Александра Гостева из «Лаборатории Касперского».

Атаки совершены против 35 российских организаций в оборонной, ядерной и авиационной сферах, отметил Гостев.

Американская компания Proofpoint подтвердила увеличение атак китайских хакеров на Россию.

Активность китайских хакеров усилилась после подписания в сентябре 2015 года США и Китаем соглашения о неприменении экономического кибершпионажа, сказал Гостев. В июне компания FireEye сообщила о значительном снижении атак китайских хакерских групп на США за последний год.

Россия и Китай подписали соглашение о защите информации, в рамках которого условились не осуществлять против друг друга атаки, в мае 2015 года.

Потери экономики РФ от действий киберпреступности Сбербанк РФ оценивает в 600 млрд рублей, заявил заместитель председателя правления банка Станислав Кузнецов журналистам в Москве.

"В 2015-2016 годах службы Сбербанка фиксируют рост числа кибератак на финансовый сектор РФ, на системы дистанционного банковского обслуживания, - сказал Кузнецов. - Если за весь 2015 год было зафиксировано 52 критичных для систем банка инцидентов, то к настоящему времени уже отмечено 57 критичных атак".

Также Кузнецов отметил, что Сбербанк по итогам прошлого года зафиксировал 32,5 тыс. попыток незаконных списаний денежных средств на общую сумму более пяти млрд рублей. "Число инцидентов в области информационной безопасности за последние два года выросло в 12 раз, - сказал он. - За прошлый год в России зафиксировано 43 тыс. киберпреступлений - и по нашей оценке, этот показатель занижен".

По мнению Кузнецова, Россия проигрывает многим другим странам в борьбе с киберпреступностью из-за слабого законодательства. "Также у нас не готовят судей к работе с тематикой киберпреступлений, нет следователей с соответствующей квалификацией", - подчеркнул Кузнецов.

Сам Сбербанк для усиления борьбы с киберпреступностью в прошлом году утвердил концепцию кибербезопасности. "Реализован первый этап проекта по формированию ISOC (Information Security Operation Center), в рамках которого организован центр фрод-мониторинга, - сказал Кузнецов. - В 2015 году бюджет Сбербанка на информационную безопасность, включая работы по ISOC, составил около 1,5 млрд рублей".

До конца текущего года Сбербанк планирует завершить работы по второму этапу проекта формирования ISOC, который должен будет обеспечить управление рисками в области IT и информационной безопасности на новом уровне, передает Интерфакс.

Потери российских банков в результате хакерских атак с октября по настоящее время составили около 2 млрд рублей.

За последний квартал 2015 года и первый квартал 2016 года выявлено 19 случаев кибератак. Об этом сообщил заместитель начальника главного управления безопасности и защиты информации ЦБ РФ Артем Сычев.

По его словам, сейчас мишенью мошенников становятся банки средней величины, для которых информационная безопасность не является приоритетом.

«Явно мы сейчас наблюдаем тренд смещения вектора угроз с непосредственно клиентов кредитных организаций на сами кредитные организации... Рекомендации Центрального банка и меры, которые сами кредитные организации предпринимают, позволили обезопасить клиентов кредитных организаций достаточно хорошо», – сказал Артем Сычев в эфире телеканала «Россия 24».

Он отметил, что с помощью Центра мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере (FinCERT) банки сумели предотвратить хищения более чем на 1,5 млрд рублей, передает агентство «Прайм».

Напомним, в феврале Артем Сычев говорил, что регулятор намерен вводить санкции в отношении банков, которые пренебрегают вопросами информационной безопасности.

Ранее сообщалось, что ЦБ РФ подозревает некоторые банки в использовании механизма хакерских атак для вывода средств.

ЦБ РФ подозревает некоторые банки в использовании механизма хакерских атак для вывода средств. Об этом на Уральском форуме заявил первый зампред ЦБ Георгий Лунтовский.

«У нас есть предположение, что кредитные организации используют этот механизм (кибератак) для того, чтобы не только скрыть предыдущие преступления или ошибки, но и с целью вывода денег из банка. Это нас очень беспокоит», – отметил он.

По словам Георгия Лунтовского, три банка, которые подвергались кибератакам, лишились лицензии в четвертом квартале 2015 года.

Он также уточнил, что в четвертом квартале 2015 года со счетов клиентов кредитно-финансовых организаций было похищено более 1,5 млрд рублей. С начала года совместными усилиями ЦБ, МВД и банковского сообщества удалось предотвратить хищения на сумму более 500 млн рублей, передает «Интерфакс».

Ранее сообщалось, что Центробанк намерен обязать банки предоставлять в Центр по борьбе с киберугрозами (FinCERT) информацию о хищениях денежных средств со счетов клиентов. В настоящее время 190 банков из 716, работающих в России, добровольно представляют сведения в FinCERT.

Центробанк намерен обязать банки предоставлять в Центр по борьбе с киберугрозами (FinCERT) информацию о хищениях денежных средств со счетов клиентов.

В настоящее время 190 банков из 716, работающих в России, добровольно представляют сведения в FinCERT.

«Вчера у председателя ЦБ было совещание по вопросу дальнейшего развития и противодействия посягательству на платежные и банковские системы. И в этой связи было принято решение о разработке ряда предложений и конкретных действий, прежде всего нормативно-правового характера, направленных на закрепление обязанностей кредитных организаций заниматься вопросами информационной безопасности не только в платежном сегменте, но и непосредственно в своих инфраструктурах», – сообщил замначальника главного управления безопасности и защиты информации Банка России Артем Сычев на «Инфофоруме-2016».

По оценкам Центробанка, потери банков с клиентских счетов за последний квартал 2015 года превысили 1,5 млрд рублей, пишет газета «Известия».

В декабре 2015 года первый заместитель председателя правления Сбербанка Лев Хасис заявил, что по итогам года потери России от киберпреступности составят около 1 млрд долларов. Гендиректор «Лаборатории Касперского» Евгений Касперский назвал тогда оценку Льва Хасиса консервативной.

 

МВД России выявило международную группу, угрожавшую безопасности банковской системы РФ.

«В прошлом году управление «К» выявило международное преступное сообщество, поставившее под угрозу безопасность всей банковской системы РФ. На момент задержания злоумышленники готовили глобальную операцию по хищению денег практически из всех банков страны», – сказал глава управления «К» МВД России Алексей Мошков на «Инфофоруме-2016».

Злоумышленники планировали атаки на процессинговые центры финучреждений, а также на мировые системы обмена межбанковскими финансовыми сообщениями.

Кроме прямых хакерских атак преступная группа занималась изготовлением скиммингового оборудования на банкоматы, создавала комплексы для получения контроля над банковскими терминалами, разрабатывала и распространяла компьютерные вирусы, передает ТАСС.

В декабре 2015 года первый заместитель председателя правления Сбербанка Лев Хасис заявил, что по итогам года потери России от киберпреступности составят около 1 млрд долларов. Гендиректор «Лаборатории Касперского» Евгений Касперский назвал тогда оценку Льва Хасиса консервативной.

По итогам 2015 года потери России от киберпреступности составят около 1 млрд долларов. Об этом заявил первый заместитель председателя правления Сбербанка Лев Хасис.

По его оценкам, общие потери государства, бизнеса и граждан от действий киберпреступности составят около 70 млрд рублей.

«Предпосылок для уменьшения этого ущерба не вижу», – отметил он.

Главный антивирусный эксперт «Лаборатории Касперского» Александр Гостев сказал, что эта цифра «похожа на правду». Однако, по его словам, она не включает результаты кибергруппировки Carbanak, от действий которой пострадали более 100 банков во всем мире, в том числе в России, а ущерб оценивается в 100 млрд долларов.

Гендиректор «Лаборатории Касперского» Евгений Касперский назвал оценку Льва Хасиса консервативной.

«Потери вполне соотносятся с объемом экономик – мировой и российской. Несколько лет назад объем киберпреступности в мире мы оценили в 100 млрд долларов. На долю России можно записать около 2%. С тех пор ситуация (по объему) скорее всего только ухудшилась», – приводит его слова «Интерфакс».

Центробанк предупредил о новом тренде в области киберугроз – теперь злоумышленники атакуют не только клиентов банков, но и сами кредитные организации.

За последний месяц FinCERT (Центр мониторинга и реагирования на киберугрозы в финансовой сфере) разбирал три случая кибератак, все они были исключительно атаками на банки, сообщил на Казанском форуме инновационных технологий Finnopolis Артем Сычев, замначальника главного управления безопасности и защиты информации ЦБ.

В целом по банковской системе хищения невелики, но для отдельно взятых игроков они могут быть фатальными. Объемы потенциальных хищений могут доходить до половины дневной ликвидности банка. При этом рост объемов хищений сопровождается усложнением схем обналичивания украденных средств.

Участники рынка уверены, что масштабы таких хищений будут расти, пишет газета «Коммерсантъ».

За последние 12 месяцев киберугрозы не обошли стороной практически ни одну компанию в Северо-Западном федеральном округе.

Как свидетельствуют результаты исследования, проведенного «Лабораторией Касперского», 93% организаций, работающих в СЗФО, хотя бы раз за год столкнулись с вредоносной атакой. Кроме того, 89% предприятий также зафиксировали в своих корпоративных сетях инциденты, обусловленные внутренними угрозами информационной безопасности. В результате этих событий каждая третья компания в регионе потеряла данные финансового характера. Наиболее часто (в 65% случаев) киберинциденты происходили по причине проникновения в сеть компании разнообразного вредоносного ПО.

Чуть более половины атак, а именно 57%, было совершено через незакрытые уязвимости в программном обеспечении, используемом организациями. Наконец, каждый четвертый инцидент случился в результате фишинговой атаки или потери корпоративных мобильных устройств.

Компания Check Point Software Technologies представила отчет, характеризующий основные киберугрозы, которым подвергаются организации во всем мире.

2014 год ознаменовался небывалыми темпами роста вредоносного ПО. Согласно отчету, каждый час организацию в среднем атакуют 106 неизвестных вредоносных программ. Это в 48 раз больше, чем 2,2 случая загрузки вредоносного ПО в час, зафиксированные в 2013 году. Неизвестное вредоносное ПО будет и дальше наносить вред организациям.

Но более значительной угрозой является так называемое ПО «нулевого дня» — злоумышленники разрабатывают его с нуля, используя те уязвимости в программном обеспечении, о которых производители еще не подозревают. Кроме того, киберпреступники продолжают использовать ботов, чтобы расширить свои сети и ускорить распространение вредоносных программ.

В 2014 году 83% исследованных организаций были заражены ботами, которые имели возможность постоянно обмениваться данными с командными серверами, говорится в сообщении Check Point Software Technologies.

IBM объявила на своем сайте о том, что ее архив данных об информационной безопасности теперь доступен на облачной платформе IBM X-Force Exchange. Эта платформа коллективного взаимодействия для борьбы с киберпреступностью содержит объемы обобщенной информации об угрозах, рекомендации, практически реализуемые в IBM и других компаниях по всему миру, а также индикаторы атак в режиме реального времени.

80% кибератак проводят организованные преступные группы, в распоряжении которых есть вся необходимая информация, инструментарий и практический опыт для осуществления подобных действий. Несмотря на то, что хакеры стали более мобильными, поведение их жертв не изменилось. На данный момент большинство (65%) штатных отделов кибербезопасности используют множество источников информации для борьбы с кибератаками.

Платформа X-Force Exchange имеет в своем распоряжении объем обобщенной информации IBM о безопасности, в том числе портфель исследовательских данных и технологий, таких как QRadar, говорится в сообщении IBM.

Эксперты компании ESET раскрыли масштабную кибератаку «Операция Buhtrap», нацеленную на российский бизнес. Об этом говорится в сообщении ESET.

«Операция Buhtrap» длилась как минимум год. Приоритетной целью атаки стали российские банки. Согласно статистике, полученной с помощью системы ESET LiveGrid, большинство заражений пришлось на пользователей из России (88%). Атакующие устанавливали вредоносное ПО на компьютеры, использующие в Windows русский язык по умолчанию. Источником заражения был документ Word с эксплойтом CVE-2012-0158, который рассылался в приложении к фишинговому письму. Один из обнаруженных образцов вредоносного документа имитировал счет за оказание услуг, второй – контракт мобильного оператора «Мегафон». Если пользователь открывает вредоносный документ на уязвимой системе, на ПК устанавливается NSIS-загрузчик. Программа проверяет некоторые параметры Windows, после чего скачивает с удаленного сервера архив 7z с вредоносными модулями.

«Схема заражения выглядит следующим образом, – объясняет Жан-Йен Бутен, вирусный аналитик ESET. – Злоумышленники компрометируют один ПК компании, отправив сотруднику фишинговое сообщение с эксплойтом. Как только вредоносная программа будет установлена, атакующие воспользуются программными инструментами, чтобы расширить свои полномочия в системе и выполнять другие задачи: компрометировать остальные компьютеры, шпионить за пользователем и отслеживать его банковские транзакции».

Согласно результатам исследования IBM Security, более 60% известных приложений для знакомств потенциально уязвимы к различным кибератакам и представляют серьезную угрозу конфиденциальности личной информации пользователей и корпоративных данных.

Исследование IBM показало, что многие приложения для знакомств имеют расширенный допуск к функциям мобильных устройств, в частности к камере, микрофону, базе данных, GPS-локации и платежной информации из электронного кошелька, которые могут оказаться под угрозой атаки хакеров ввиду уязвимости программы. По данным исследования, почти в половине организаций на рабочих мобильных устройствах, которые сотрудники используют для доступа к деловой информации, установлено по крайней мере одно популярное приложение для знакомств. В современной сетевой культуре приложения для знакомств являются распространенным и удобным сервисом, с помощью которого одинокие люди всех возрастных категорий могут найти свою вторую половину. Как показало исследование Pew Research Center, один из 10 американцев, или примерно 31 млн. человек, пользуется услугами сайтов знакомств или приложениями. Более того, количество людей, которые встречаются с теми, с кем они общались в Интернете, выросло до 66%, говорится в сообщении IBM.

«Многие потребители доверяют своим мобильным устройствам работу с различными приложениями. Именно это доверие и дает хакерам возможность эксплуатировать уязвимости, например такие, которые мы нашли в приложениях для знакомств, — сказал Калеб Барлоу, вице-президент IBM Security. — Потребители должны быть осторожны при общении в таких программах, избегая раскрытия чрезмерного объема личной информации. Наше исследование показывает, что некоторые пользователи могут быть вовлечены в небезопасный обмен данными, что часто приводит к нарушениям безопасности и конфиденциальности».

Компания «ИнфоТеКС» сообщила о получении патента на новый способ обнаружения компьютерных атак на сетевую информационную систему.

Технология разработана участниками программы поддержки научных кадров «ИнфоТеКС Академия» и зарегистрирована в Федеральной службе по интеллектуальной собственности (Роспатент). Запатентованный способ обнаружения вторжений, в отличие от известных методов, позволяет регулировать чувствительность алгоритма обнаружения атак, адаптируя его к конкретной компьютерной сети.

Способ обнаружения атак, зарегистрированный «ИнфоТеКС», может распознавать много видов атак (HTTP-flood, SYN-flood, UDP-flood, ICMP-flood, TCP-flood), а также их комбинации, что позволит сократить время обнаружения атаки и, таким образом, своевременно организовать комплекс мер по минимизации возможного ущерба, сообщают разработчики.