Эксперты компаний FireEye и iSight Partner опубликовали подробный отчет о деятельности хакерской группировки, фигурирующей в документе под именем Fin6. Эта неизвестная ранее группа работает с конца 2015 года и в основном занимается хищением финансовой информации.
Преимущественно это информация о банковских картах, полученная в результате атак на сектора розничной торговли и медицины. Специалисты сообщают, что только в одном из случаев хакеры похитили данные 20 млн банковских карт, что принесло им порядка 400 000 000 долларов.
Каким образом происходит исходная компрометация систем жертв, эксперты точно сказать не могут. Исследователи полагают, что на первом этапе кардеры из Fin6 могут использовать направленный фишинг или вообще перекупают доступ к уже инфицированным компьютерам у других групп. В частности, в системах пострадавших был найден вредонос Grabnew, который также известен под названиями Vawtrack или Neverquest. Grabnew является бэкдором, умеет воровать данные из веб-форм, а также осуществлять инъекции кода в веб-страницы. Зловред похищает учетные данные с зараженных машин и PoS-систем и переправляет их на сервер своих операторов,
Чтобы закрепиться в системе, злоумышленники используют различные модули Metasploit. В частности, в одном из рассмотренных экспертами случаев, для загрузки и выполнения шеллкода был задействован Metasploit PowerShell. Также в арсенале картеров присутствуют Hardtack и Shipbread.
Злоумышленники повышают свои привилегии, эксплуатируя уязвимости CVE-2013-3660, CVE-2011-2005 и CVE-2010-4398. При помощи других модулей Metasploit, Fin6 делают копию Active Directory БД (ntds.dit), что впоследствии позволяет хакерам извлечь парольные хеши и взломать их в оффлайне.
Укрепив свои позиции, злоумышленники доставляют в зараженную систему основного вредоноса – Trinity, чья деятельность уже направлена непосредственно против PoS-девайсов. Trinity собирает в зараженной системе широкий спектр различных данных, пакует информацию в ZIP-архивы и заливает их на хостинг, откуда информация уходит на управляющий сервер хакеров. В одном из изученных специалистами случаев заражению Trinity подверглись более 2000 систем сразу.
Собранную информацию о банковских каратах Fin6 не используют самостоятельно, но перепродают в даркнете. По данным экспертов, в среднем цена информации об одной карте составляет $21. В отчете сказано, что только в результате одного из многочисленных инцидентов, злоумышленники сумели похитить данные о 20 млн банковских карт, так что можно представить, какими суммами оперирует группировка Fin6 и каков масштаб их атак.
DLP-система InfoWatch Traffic Monitor теперь совместима с on-premise-версией платформы VK WorkSpace. Это означает, что компании смогут контролировать, какие данные передаются в корпоративных письмах и мессенджере, и вовремя предотвращать утечки.
Интеграция охватывает основные каналы рабочей коммуникации — электронную почту и мессенджер VK Teams. DLP-система отслеживает текст, вложения и документы, выявляет потенциально конфиденциальную информацию и проверяет, нарушаются ли политики безопасности компании.
Если нарушение зафиксировано, система может автоматически заблокировать отправку сообщения, ограничить доступ к файлам и уведомить ИБ-специалистов.
Почта, работающая в составе VK WorkSpace, тоже подключается к DLP-системе. Есть несколько способов настройки: можно перенаправлять почтовый трафик через SMTP или использовать скрытую копию (BCC).
Интеграция настраивается через административный интерфейс — достаточно указать адрес сервера или почтового ящика DLP. Кроме того, защиту трафика на рабочих устройствах обеспечивает установленный агент InfoWatch.
Как подчёркивают в обеих компаниях, эта интеграция — ответ на запросы бизнеса и госсектора на усиление контроля за утечками и работу в полностью российских ИТ-средах.
Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017 Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.
