Выявлена сеть из 1500 зараженных PoS-терминалов

Выявлена сеть из 1500 зараженных PoS-терминалов

Специалисты по информационной безопасности обнаружили глобальную сеть из 1500 POS-терминалов, инфицированных специализированным вредоносным ПО. Созданная хакерами сеть работает в 36 странах и также включает в себя машины, используемые для прочих операций в розничной торговле.



Согласно данным компании IntelCrawler, созданная ботсеть получила название Nemanja, ее центр управления находится в Сербии. В отчете компании говорится, что размер ботсети и ее глобальная распределенность говорит о том, что атаковавшие хакеры очень хорошо знакомы с системами автоматизации торговли в разных странах и хорошо представляют себе бизнес-процессы в торговле, сообщает cybersecurity.ru.

В блоге IntelCrawler отмечается, что прежде большинство ИТ-инцидентов в розничной торговле были связаны с малым бизнесом или индивидуальными сетями, тогда как сейчас речь идет о мультинациональной кампании. «Мы ожидаем роста числа инцидентов с участием сектора торговли, не исключаем новых случаев крупных утечек данных, а также появления нескольких семейств вредоносных кодов, ориентированных именно на торговый сектор», - говорят в компании.

Согласно данным этой компании, ботсеть Nemanja включает в себя 1478 зараженных систем, большая часть которых работает в США, Великобритании, Канаде, Австрии, Китае, России, Бразилии и Мексике. Анализ позволил выявить, что все целевые PoS-терминалы работали на основе разных систем, разных систем управления запасами и другого софта. Компания идентифицировала как минимум 25 разных программ автоматизации.

«Выявленные данные не говорят о том, что одни системы более уязвимы, чем другие. Это, скорее, говорит о том, что вредоносное ПО эволюционирует таким образом, что может работать на разных системах автоматизации сразу», отмечают в IntelCrawler.

57% компаний не знают свою инфраструктуру, поэтому дольше расследуют атаки

Российские ИБ-команды по-прежнему вынуждены больше тушить пожары, чем предотвращать их. К такому выводу пришли аналитики компании «Гарда», изучив практики реагирования на киберинциденты в российских организациях. Главная проблема оказалась вполне ожидаемой — расследование инцидентов.

Для 33% компаний именно анализ логов и поиск индикаторов компрометации остаются самым трудоемким этапом реагирования. А в организациях с численностью свыше 5000 сотрудников этот показатель достигает 42%.

При этом далеко не все компании вообще знают, что происходит в собственной инфраструктуре. Исследование показало, что 57% организаций не проводят полную инвентаризацию и классификацию ИТ-активов. Из-за этого расследования затягиваются, а поиск источника атаки превращается в настоящий квест.

Еще одна хроническая болезнь отрасли — нехватка кадров. Более половины участников исследования признались, что специалистов по информационной безопасности попросту не хватает. Особенно остро проблема ощущается в компаниях с численностью от 250 до 1000 сотрудников, где на кадровый дефицит указали 70% респондентов.

С автоматизацией тоже все непросто. Хотя 52% компаний уже используют SIEM-системы, специализированные инструменты активного реагирования — XDR, SOAR, EDR и NDR — внедрены значительно реже. В результате многие процессы по-прежнему выполняются вручную.

Чаще всего автоматизируют самые очевидные действия: блокировку IP-адресов и доменов (49%), отключение учетных записей (46%) и изоляцию зараженных устройств (35%).

Еще один любопытный вывод исследования — главными источниками головной боли остаются вовсе не сложные APT-группировки, а старые добрые фишинг и компрометация учетных записей. Человеческий фактор по-прежнему остается любимой точкой входа злоумышленников.

По словам руководителя продуктового направления «Гарды» Станислава Грибанова, по мере роста инфраструктуры расследовать атаки становится все сложнее. Поэтому рынок постепенно смещается в сторону поведенческого анализа, машинного обучения и автоматической приоритизации событий — технологий, которые позволяют быстрее находить действительно опасные инциденты и освобождать аналитиков от рутинной работы.

RSS: Новости на портале Anti-Malware.ru