Group-IB: разрушение инфраструктуры, основная угроза финансовому сектору

Александр Панасенко 10 Октября 2017 - 22:30

Корпорации

Вредоносные программы

Программы-вымогатели

Программы-шифровальщики

Целевые атаки

Таргетированные атаки

Саботаж

...

Group-IB: разрушение инфраструктуры, основная угроза финансовому сектору

По данным отчета Hi-Tech Crime Trends 2017, представленного компаний Group-IB на ежегодной конференции CyberCrimeCon, за год в результате хищений в интернет-банкинге у юридических лиц с использованием вредоносных программ было украдено почти $10,4 млн, а в ходе целевых атак на банки — более $27 млн.

Несмотря на снижение обоих показателей на 35% по сравнению с прошлым годом, целевые атаки на финансовые организации продолжат приносить киберпреступникам наибольший доход. Однако, по мнению экспертов, уже в ближайшее время широкое распространение в финансовом секторе получит новая угроза — выведение из строя инфраструктуры. Причем использовать ее будут как финансово мотивированные киберпреступники, так и хакеры, спонсируемые государством.

В начале 2017 года эксперты Group-IB зафиксировали первые случаи использования шифровальщиков для сокрытия следов ограбления банка. В ходе атаки на один из банков группировка Cobalt получила контроль над всей его информационной сетью. После совершения хищения хакеры запустили модифицированную версию шифровальщика Petya — PetrWrap — на всех компьютерах в сети, чтобы скрыть следы преступления. Впоследствии часть данных удалось восстановить, однако большая часть компьютеров в сети банка вышли из строя, что сильно усложнило расследование инцидента.

«После проведения успешных атак на банки атакующие всегда стремились уничтожить следы своего присутствия, чтобы усложнить проведение расследования и как можно дольше оставаться незамеченными для исследователей. Для уничтожения следов они использовали такие инструменты, как SDelete, MBRKiller, самописные утилиты для уничтожения данных. Было очевидно, что использование шифровальщиков для сокрытия следов атаки — лишь вопрос времени, — уверен Дмитрий Волков, руководитель отдела расследований и сервиса киберразведки Threat Intelligence, сооснователь Group-IB. — Более интересен тот факт, что проправительственные хакеры очень оперативно уловили этот тренд и последовали примеру киберпреступников».

В марте 2017 года группировка Black Energy, которая ранее была известна своими атаками на энергетические компании, не просто сменила профиль, атаковав ряд украинских банков, но и использовала для этого собственного шифровальщика.

Напомним, что в основе, пожалуй, самой резонансной хакерской атаки этого года также лежал шифровальщик WannaCry, поразивший IT-инфраструктуру ряда крупных организаций, в том числе банков. По мнению экспертов, за ней стоит Lazarus — группа государственных хакеров из Северной Кореи. Очевидно, что целью атаки было не получение финансовой выгоды, а оказание влияния на конкретные объекты, чью работоспособность было необходимо нарушить.

В случае с NotPetya атака, за которой, предположительно, стоит та же Black Energy, была более целенаправленной, хотя целью обеих атак можно считать выведение из строя инфраструктуры: в июне 2017 года хакерам удалось временно остановить производство на ряде предприятий, а также нарушить процессы в компаниях нефтегазового и финансового секторов.

«Ущерб от простоя в банковской сфере может быть гораздо более ощутимым, чем от хищения. Получение контроля над IT-инфраструктурой крупных системообразующих банков или выведение ее из строя дает возможность оказывать влияние на национальную экономику, курс валюты и приводит к другим масштабным последствиям, в которых не всегда заинтересованы финансово мотивированных хакеры. Таким образом, использование шифровальщиков в финансовой сфере — это, скорее, инструмент влияния, нежели финансовой выгоды. И практика последних атак только подтверждает этот тезис, — продолжает Волков. — Однако вне зависимости от принадлежности хакеров и их целей жертвой атаки в первую очередь становятся конкретная финансовая организация и ее клиенты».

Следующая главная новость »

SOC без иллюзий: от выбора технологий к реальной защите - обсудим в эфире AM Live! Регистрируйтесь »

Екатерина Быстрова 09 Февраля 2026 - 16:20

Трояны Программы-вымогатели Программы-шифровальщики Малый и средний бизнес Корпорации ГК «Гарда»

Каждая третья компания в России пережила более 10 кибератак за год

Почти треть российских компаний в 2025 году пережили более десяти кибератак на свою инфраструктуру. Об этом говорят результаты опроса, проведённого Центром компетенций сетевой безопасности компании «Гарда». Согласно данным исследования, 29% респондентов сообщили о десяти и более атаках, ещё у 42% инциденты происходили от одного до девяти раз.

При этом 29% участников заявили, что не фиксировали атак вовсе. В «Гарде» отмечают: это не обязательно означает их отсутствие — возможно, дело в недостаточном уровне мониторинга событий информационной безопасности.

Самыми распространёнными угрозами остаются фишинг и социальная инженерия — с ними сталкивались 69% опрошенных компаний.

На втором месте — вредоносные программы, включая инфостилеры, трояны и шифровальщики (56%). DDoS-атаки затронули почти треть участников опроса — 31%.

Отдельный блок опроса был посвящён тому, какие атаки труднее всего обнаружить и остановить. Лидируют здесь атаки с использованием уязвимостей нулевого дня — их назвали самыми проблемными 68% респондентов.

На втором месте — атаки внутри периметра с применением легитимных учётных записей (45%). Также компании отмечают сложности с выявлением скрытных вредоносных инструментов и атак, идущих через внешние сервисы с низким уровнем защиты.

По словам руководителя продукта «Гарда TI Feeds» Ильи Селезнёва, результаты опроса показывают очевидную тенденцию: киберугрозы развиваются быстрее, чем традиционные меры защиты.

Он подчёркивает, что в таких условиях всё большую роль играет проактивный подход и работа с актуальными данными об угрозах — от поиска фишинговых доменов и скомпрометированных учётных данных до выявления утечек персональных данных и исходного кода ещё до того, как ими воспользуются злоумышленники.

В целом результаты опроса подтверждают: даже если атаки «не видны», это не значит, что их нет. А фокус на обнаружение и предотвращение становится не менее важным, чем реагирование на уже произошедшие инциденты.

SOC без иллюзий: от выбора технологий к реальной защите - обсудим в эфире AM Live! Регистрируйтесь »