Российские банки столкнулись с новыми ограблениями

Российские банки столкнулись с новыми ограблениями

Спустя год после раскрытия масштабного киберограбления, совершенного группировкой Carbanak, «Лаборатория Касперского» зафиксировала новые случаи использования методов нашумевших киберпреступников.

Эксперты компании обнаружили, что «на арене» появились еще две команды, работающие в том же стиле, – Metel и GCMAN, а, кроме того, и сама группа Carbanak возобновила свою активность. В настоящее время все они в основном атакуют и грабят банки и финансовые организации в России. 

Отличительной особенностью атак, за которыми стоят эти организаторы, является использование тактик и технологий, применяемых в профессиональных кампаниях кибершпионажа, спонсируемых государствами. Вот только целью преступников является не получение данных, а кража денег с банковских счетов. Помимо этого, группировки активно используют в своих атаках легальное ПО, что помогает им не тратить время и силы на разработку специального софта, а также позволяет минимизировать риск обнаружения в зараженной системе. Кроме того, преступники изобрели новые схемы обналичивания украденных денег.    

Metel

В активе кибергруппировки Metel имеется немало интересных уловок и тактик, но по-настоящему она отличилась интересной схемой вывода денег из банка: злоумышленники получают контроль над теми ресурсами внутри банка, которые имеют доступ к системам, управляющим денежными транзакциями (например, компьютеры клиентской поддержки), и настраивают автоматический откат операций, совершаемых через банкоматы. Следовательно, даже если преступники будут постоянно снимать деньги через банкоматы, баланс на их счетах останется постоянным, сколько бы транзакций в банкомате не было совершенно. 

В ходе своего расследования эксперты «Лаборатории Касперского» выяснили, что бандитская группировка разъезжала по городам России и в течение всего одной ночи снимала через банкоматы крупные суммы с карт, выпущенных скомпрометированным банком. А это, в свою очередь, свидетельствует о том, что активная фаза кибератак в целом стала короче: как только злоумышленники понимают, что они подготовили все необходимое для достижения своей цели, они получают все, что им нужно, и сворачивают операцию в течение считаных дней или даже часов. 

Для того же чтобы попасть в корпоративную сеть банка, группировка Metel рассылает фишинговые письма с вредоносными вложениями или использует эксплойт Niteris, заражающий устройства через открытые уязвимости в браузерах. Дальше, в случае успеха, киберпрестпуники прибегают к помощи легальных технологий для проверки сети на проникновение, получают в свое распоряжение контроллер локального домена и в итоге открывают доступ к компьютерам сотрудников банка, ответственных за обработку транзакций по картам.    

До настоящего времени «Лаборатория Касперского» не зафиксировала ни одной атаки Metel за пределами России. Тем не менее группировка все еще активна, и у экспертов есть основания полагать, что география заражений может быть гораздо шире. Именно поэтому компания рекомендует банкам по всему миру проверить свои IT-системы, чтобы исключить заражение. 

GCMAN

Что касается скрытности, то непревзойденным мастером в этом вопросе оказывается GCMAN. Как выяснили эксперты «Лаборатории Касперского», иногда эта кибергруппировка проводит успешные атаки, не используя вообще никакого вредоносного ПО, полагаясь лишь на легитимные технологии и инструменты тестирования системы на проникновение. Так, в ряде случаев атакующие использовали утилиты Putty, VNC и Meterpreter, позволившие им добраться до компьютера, который мог быть задействован в переводе денег на сервисы криптовалют без оповещения других систем банка. 

Злоумышленники готовятся к ограблению тщательно: в одной из операций, к примеру, они находились в зараженной системе полтора года, прежде чем начать красть деньги. При этом, когда дело доходит до кражи, действуют они крайне быстро. Каждую минуту группировка GCMAN способна переводить до 200 долларов США – лимит для анонимных платежей в России. Все украденные деньги киберпреступники переводят на криптовалютные счета так называемых «дропов» – специально нанятых людей, которые занимаются обналичиванием. Поручения на транзакции в этих случаях направляются напрямую в банковский платежный шлюз и не отображаются ни в одной из внутренних банковских систем.

Carbanak 2.0 

В 2015 году возродившаяся группировка Carbanak по-прежнему использовала инструменты, характерные для сложных атак класса АРТ, однако она расширила свои интересы. Теперь киберпреступники атакуют не только банки, но также финансовые и бюджетные департаменты любых организаций, в частности бухгалтерии. В одном из случаев, зафиксированных «Лабораторией Касперского», группировка проникла в корпоративную сеть финансовой организации, регистрирующей данные о владельцах различных компаний, и изменила информацию об одном из них на данные своего «дропа». 

«Атаки на финансовые организации, которые мы наблюдали на протяжении 2015 года, свидетельствуют о тревожной тенденции: киберпреступники все активнее начинают использовать сложные инструменты, применяемые в кампаниях кибершпионажа и АРТ-атаках. Carbanak был лишь началом. Злоумышленники учатся быстро, и все чаще они предпочитают атаковать не пользователей, а непосредственно банки – ведь деньги хранятся именно там, – поясняет Сергей Голованов, ведущий антивирусный эксперт «Лаборатории Касперского». – Мы стремимся указать, где и как именно киберпреступники смогут нанести удар с целью украсть деньги. Поэтому зная, например, о стиле GCMAN, стоит проверить, насколько хорошо обеспечена безопасность банковских серверов, а в случае с Carbanak внимание стоит уделить защите баз данных, в которых содержится не только информация о балансе, но также сведения о собственниках счетов». 

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

В системах управления уязвимостями 78% компаний ценят качество сканирования

Согласно результатам исследования, проведенного в R-Vision, основным критерием при выборе инструмента управления уязвимостями является качество сканирования. Этот параметр наиболее важен для 78% российских компаний.

Чтобы выяснить, какие задачи и как решаются в этой области, и понять, что влияет на выбор решений по управлению уязвимостями (Vulnerability Management, VM), эксперты провели опрос клиентов и партнеров, а также проанализировали обратную связь по пилотам R‑Vision VM за 2024 год и I квартал 2025-го.

В опросе приняли участие 83 респондента — руководители и специалисты по ИБ/ИТ, работающие в организациях разной величины и направленности (финансы, промышленность, нефтегаз, энергетика, транспорт, ретейл, телеком, ИТ, госсектор).

Участников опроса попросили оценить по 10-балльной шкале важность параметров, свидетельствующих о качестве сканирования, и наличия функций для построения процессов VM.

 

Опрос также показал рост интереса к дополнительным возможностям, способным повысить эффективность VM — таким как корреляция данных из различных источников, приоритизация уязвимостей на основе контекста и рисков, использование машинного обучения для прогнозирования угроз.

Так, финансисты, уделяющие много внимания ИБ, чаще ратуют за расширение аналитики и добавление ML, промышленникам хотелось бы включить в охват специфичные для отрасли среды, ретейлу важнее защита веб-ресурсов.

 

«Результаты опроса показывают, что для 78% респондентов качество сканирования — ключевой критерий при выборе VM-решения., — комментирует Ирина Карпушева, менеджер по продуктовому маркетингу R-Vision. — В то же время зрелость подходов к VM сильно варьируется в зависимости от размера организации. Крупные компании чаще переходят к комплексным решениям и выстраивают сквозные процессы, средний бизнес — в процессе перехода, малый по-прежнему опирается на сканеры, как правило, без дополнительной обвязки».

Качество сканирования — также первостепенный критерий для 74% участников пилотных проектов по внедрению R-Vision VM (за последний год было запущено более 70 пилотов).

Помимо проведения инструментальных проверок, в ходе этих мероприятий компании также изучали документацию (92%), чтобы оценить покрытие ОС, прикладных программ, сетевого оборудования, СУБД, а также обращали внимание на содержание карточек уязвимостей (86%), частоту обновления базы данных, правила детектирования и другие параметры.

 

Эксплойт уязвимостей уже несколько лет числится в топе способов взлома корпоративных сетей. Такие лазейки множатся, устранять их вовремя далеко не все успевают, и в результате спрос на VM-продукты и услуги растет.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru