ЦБ обяжет банки подсчитать ущерб от кибератак, исков и краж

ЦБ обяжет банки подсчитать ущерб от кибератак, исков и краж

Центральный банк России наложил дополнительные требования на кредитные организации, согласно которым банки обязаны по-новому подсчитывать ущерб не только от кибератак, но также и от исков о харассменте и краж. Судя по всему, финансовым организациям придется менять риск-системы.

Проект соответствующего положения «О требованиях к системе управления операционным риском в кредитной организации и банковской группе» был опубликован Центробанком и разработан на основе декабрьского решения Базельского комитета по банковскому надзору.

Несмотря на то, что сама инициатива будет введена с 2022 года, чтобы соответствовать новому подходу, банки будут обязаны собрать информацию о потерях за последние пять лет минимум.

К концу 2019 года кредитные организации должны будут полностью привести свои системы к соответствию с новым стандартом. Уже с 2020 года Центральный банк начнет проверки систем — насколько они соответствуют этим новым стандартам.

Если банк по каким-то причинам не приводит свою систему к соответствию, ЦБ может воспользоваться статьей 74 закона «О ЦБ», которая предусматривает введение штрафов или временной администрации.

События операционного риска, о которых финансовые организации должны отчитываться, делятся на семь разных типов:

  1. Внутреннее мошенничество (преднамеренное превышение сотрудниками банков своих полномочий; кражи и мошенничество с их стороны в целях получения личной выгоды).
  2. Внешнее мошенничество (кражи и мошенничество со стороны третьих лиц, кибератаки на инфраструктуру банка и хищение средств клиентов).
  3. Нарушения кадровой политики и безопасности труда (выплаты компенсаций сотрудникам из-за нарушений трудового законодательства; нанесение ущерба здоровью работников из-за несоблюдения норм безопасности, штрафы надзорным органам, нарушения прав граждан, связанные с дискриминацией — половой, расовой, национальной и др.).
  4. Нарушения прав клиентов и нанесение им ущерба (раскрытие конфиденциальной информации, нарушение условий договоров, навязывание дополнительных услуг, несоблюдение законодательства в сфере противодействия отмывания доходов, нанесение ущерба контрагентам).
  5. Ущерб материальным активам из-за стихийных событий и форс-мажоров (природные, техногенные, социальные, медико-биологические катастрофы и т.д.).
  6. Нарушения функционирования и сбои систем (сбои в работе программного обеспечения; сбои водо- и энергоснабжения).
  7. Нарушения при организации, исполнении и управлении процессами (ошибки при подготовке и проведении банковских операций, ведении бухучета, документооборота, расчетов с клиентами, недостатки в работе контрагентов).

В конце августа в Центральном банке России приняли решение немного ослабить правила, согласно которым кредитные организации обязаны отчитываться перед регулятором за любые киберинциденты. В частности, маленькие кредитные организации теперь смогут избежать обязательной отчетности о кибератаках.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Программа-вымогатель Cuba заручилась поддержкой нового RAT-вредоноса

Операторы программы-вымогателя Cuba используют ранее не встречавшиеся экспертам техники, включая новую вредоносную программу, открывающую удалённый доступ к устройству жертвы (RAT). Троян получил имя “Tropical Scorpius“.

На интересную киберугрозу обратили внимание специалисты из подразделения Unit 42, принадлежащего Palo Alto Networks. Именно они и связали троян с операциями киберпреступников, стоящих за распространением Cuba.

Известно, что в первом квартале 2022 года программа-вымогатель Cuba получила небольшие, но весомые нововведения: обновлённый компонент шифровальщика, оснащённый дополнительными опциями, и quTox для связи с жертвами в режиме реального времени.

Тем не менее Tropical Scorpius ещё усилил операции киберпреступников, сделав их опаснее, а также продемонстрировал новую тактику злоумышленников.

Tropical Scorpius использует стандартный пейлоад Cuba, который остаётся преимущественно неизменным с 2019 года. Однако новизна заключается в том, что с июня 2022 года используется легитимный сертификат NVIDIA, украденный LAPSUS (стоит отметить, что сертификат не проходит валидацию).

С помощью упомянутого сертификата операторы Cuba подписывают драйвер уровня ядра, который выступает дроппером на начальном этапе заражения.

 

Задача драйвера — вычислить процессы антивирусных продуктов и завершить их, чтобы атакующие как можно дольше оставались в системе. Вот список процессов, на которые охотится дроппер:

 

Следующим шагом Tropical Scorpius задействует инструмент для локального повышения прав, который эксплуатирует уязвимость CVE-2022-24521 (была пропатчена в апреле). По словам специалистов Unit 42, киберпреступники использовали стратегию, похожую на то, что описывал Сергей Корниенко.

Далее Tropical Scorpius загружает инструменты ADFind и Net Scan для латерального передвижения по сети жертвы. На этом этапе в дело также вступает новая тулза, собирающая учётные данные Kerberos. Кроме того, злоумышленники начали использовать ZeroLogon для эксплуатации CVE-2020-1472.

В заключительной фазе Tropical Scorpius запускает троян “ROMCOM RAT“, ранее не встречавшийся экспертам. Он обеспечивает взаимодействие с командным сервером с помощью ICMP-запросов.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru