Реформа ФинЦЕРТа сократила объем информирования банков о киберугрозах

Татьяна Никитина 20 Мая 2021 - 15:22

...

Реформа ФинЦЕРТа сократила объем информирования банков о киберугрозах

Реструктуризация ИБ-департамента Банка России, нацеленная на повышение эффективности работы Центра мониторинга и реагирования на компьютерные атаки в сфере финансов (ФинЦЕРТ), привела к обратному результату. Основной причиной сокращения количества и снижения качества рассылаемой по банкам информации, как выяснил «Ъ», является нехватка кадров.

Решение о проведении реформы ФинЦЕРТ было принято после рассмотрения предложений Ассоциации банков России (АБР) по улучшению информационного обмена через АСОИ. В итоге это подразделение распалось на три самостоятельные службы: центр мониторинга и анализа ИБ, центр взаимодействия и реагирования, управление надзора и наблюдения. Их функции перераспределили внутри департамента информационной безопасности ЦБ.

Как стало известно журналистам, ожидаемый эффект реструктуризация не возымела; положение даже ухудшилось. Количество информационных бюллетеней, рассылаемых по банкам, заметно уменьшилось. Если в 2020 году банки в рабочие дни получали в среднем не менее двух таких посланий, то в первые месяцы 2021-го их число сократилось до одного в день, а с марта — до двух-трех в неделю.

Качество бюллетеней тоже снизилось — в частности, алерты о кибератаках и используемых техниках стали менее подробными.

По данным «Ъ», к столь плачевным результатам привела проблема с кадрами в Центробанке. У новых подразделений, на которые распался ФинЦЕРТ, до сих пор нет руководителей. Часть покинувших службу профессионалов так и не удалось заменить.

В ответ на запрос «Ъ» о комментарии в Банке России пояснили: «Количество бюллетеней уменьшилось, так как уменьшилось число компьютерных атак». Как выяснилось, это заявление противоречит результатам наблюдений участников рынка и ИБ-экспертов.

По словам главного эксперта «Лаборатории Касперского» Сергея Голованова, в 2021 году хакерских атак на инфраструктуру банков стало заметно больше, а клиентам продолжают досаждать мошенники, использующие социальную инженерию. В RTM Group отметили, что атаки на владельцев счетов – физлиц все чаще ограничиваются одним банком-мишенью.

Эксперты ИТ-компании «Крок» ожидают, что в текущем году количество киберинцидентов в финансовой сфере увеличится на 10-15%. Да и статистика самого ЦБ свидетельствует о вероятности сохранения прошлогодней тенденции к росту: по данным регулятора, в 2020 году число атак с целью кражи банковских реквизитов возросло на 88%.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Екатерина Быстрова 21 Ноября 2025 - 12:53

Windows Ботнет Домашние пользователи Корпорации Лаборатория Касперского

Новый Windows-ботнет Tsundere маскируется под установщики популярных игр

Эксперты Kaspersky GReAT сообщили о новом ботнете под названием Tsundere. Злоумышленники заражают устройства на Windows с помощью PowerShell-скриптов или MSI-установщиков, маскируя вредоносный имплант под установщики популярных игр: Valorant, CS2 и Rainbow Six.

По данным «Лаборатории Касперского», атаки уже зафиксированы в Мексике и Чили.

Согласно анализу, авторы ботнета пытаются избегать заражения систем в странах СНГ, однако детекты всё же были обнаружены в России и Казахстане. Специалисты отмечают, что ботнет активно растёт и представляет серьёзную угрозу.

Одной из ключевых особенностей Tsundere стало использование Web3-смарт-контрактов для размещения адресов командных серверов. Такой подход делает инфраструктуру более устойчивой: переключать C2-серверы можно через блокчейн Ethereum.

Анализ панели управления показал, что ботнет распространяет импланты двумя способами:

через MSI-файлы;
через PowerShell-скрипты.

После установки на устройство загружается бот, который способен непрерывно выполнять JavaScript-код. Для связи с командным сервером используется WebSocket.

Кроме того, у Tsundere есть собственная панель управления и торговая площадка — единый интерфейс для операторов ботнета.

Исследователи считают, что разработчики Tsundere с высокой вероятностью русскоязычные: на это указывают фрагменты кода. Также обнаружена связь ботнета со стилером 123 Stealer, который распространяется на форумах дарквеба.

По словам Дмитрия Галова, руководителя Kaspersky GReAT в России, злоумышленники быстро адаптируют инструменты и уже несколько раз меняли архитектуру ботнета:

«Переход на Web3 сделал инфраструктуру более гибкой, а импланты продолжают распространяться под видом установщиков игр. Вероятно, что Tsundere продолжит расширяться».

Индикаторы компрометации:

Хеш-суммы файлов:

235A93C7A4B79135E4D3C220F9313421
 760B026EDFE2546798CDC136D0A33834
 7E70530BE2BFFCFADEC74DE6DC282357
 5CC5381A1B4AC275D221ECC57B85F7C3
 AD885646DAEE05159902F32499713008
 A7ED440BB7114FAD21ABFA2D4E3790A0
 7CF2FD60B6368FBAC5517787AB798EA2
 E64527A9FF2CAF0C2D90E2238262B59A
 31231FD3F3A88A27B37EC9A23E92EBBC
 FFBDE4340FC156089F968A3BD5AA7A57
 E7AF0705BA1EE2B6FBF5E619C3B2747E
 BFD7642671A5788722D74D62D8647DF9
 8D504BA5A434F392CC05EBE0ED42B586
 87CE512032A5D1422399566ECE5E24CF
 B06845C9586DCC27EDBE387EAAE8853F
 DB06453806DACAFDC7135F3B0DEA4A8F

Путь к файлам:

%APPDATA%\Local\NodeJS

Домены и IP-адреса:

ws://185.28.119[.]179:1234
 ws://196.251.72[.]192:1234
 ws://103.246.145[.]201:1234
 ws://193.24.123[.]68:3011
 ws://62.60.226[.]179:3001

Криптовалютные кошельки:

0x73625B6cdFECC81A4899D221C732E1f73e504a32
 0x10ca9bE67D03917e9938a7c28601663B191E4413
 0xEc99D2C797Db6E0eBD664128EfED9265fBE54579
 0xf11Cb0578EA61e2EDB8a4a12c02E3eF26E80fc36
 0xdb8e8B0ef3ea1105A6D84b27Fc0bAA9845C66FD7
 0x10ca9bE67D03917e9938a7c28601663B191E4413
 0x52221c293a21D8CA7AFD01Ac6bFAC7175D590A84
 0x46b0f9bA6F1fb89eb80347c92c9e91BDF1b9E8CC

Примечание. Эти кошельки изменяли адрес командного сервера в смарт-контракте.