Как защититься финансовой системе Кыргызстана от возможных хакерских атак

Бишкек (АКИpress) – По данным Positive Technologies, лидера¹ рынка результативной кибербезопасности в России, количество кибератак на финансовые организации продолжает расти. Хакеры все чаще используют простые, но эффективные методы и стремятся украсть конфиденциальную информацию компаний. Финансовые организации, в том числе банки Кыргызстана и их клиенты, не застрахованы от подобных рисков. Какие методы используют злоумышленники и как защититься от хакерских атак, рассказывает Дмитрий Шлейфер, директор по развитию бизнеса Positive Technologies в СНГ.

Враг нашего времени

Наибольшую опасность для финансовых компаний представляют профессиональные хакерские группировки, или APT (от англ. advanced persistent threat). Они хорошо организованы, тщательно планируют атаки и используют мощные инструменты. Яркий пример APT-группировки — YoroTrooper. Она сперва атаковала компании восточноевропейских государств и стран СНГ, а в 2023 году делала попытки атаки организаций Кыргызстана и Таджикистана. Рассмотрим на примере деятельности YoroTrooper типичные тактики, которые применяют хакеры в атаках на финансовые компании.

• Условно хакеров можно разделить на три группы. К первой (90%) относятся злоумышленники-одиночки, негативно настроенные активисты и недобросовестные сотрудники, которые за деньги передают информацию другим хакерам. Ко второй — профессиональные группировки (9%). К третьей (1%) — прогосударственные хакеры.

Классика современной атаки

Классическая цепочка атаки YoroTrooper — сложная многоходовая схема. Все комбинации хакеров рассчитаны на то, чтобы постепенно ослабить компанию и похитить конфиденциальную информацию, оставаясь при этом невидимыми для средств безопасности. Злоумышленники начинают атаку с фишинга, направленного на конкретного сотрудника. Жертву выбирают заранее, изучают информацию о ней в разных источниках, в том числе соцсетях. Наибольшую ценность для них имеют данные о месте работы, номер телефона, адрес электронной почты.

Изучив информацию, они отправляют жертве, например, на почту, фишинговое письмо с вредоносным файловым архивом. Чтобы сообщение выглядело правдоподобным, делают рассылку как будто от имени генерального директора компании, представителя органов власти или другого авторитетного лица.

Затем жертва открывает вредоносный архив. В нем может быть файл-ссылка или другие уловки, с помощью которых мошенники загружают на устройство сотрудника вредоносное программное обеспечение, а затем заражают всю систему. Чтобы избежать этого, необходимо внимательно проверять письма, например, с помощью антивируса или сетевой песочницы. Важная тема, нагнетание обстановки, ошибки и лишние символы в тексте, подозрительные ссылки и файлы в форматах, которые не принято использовать в компании, адрес отправителя с перепутанными или случайными буквами и странным доменом — все это сигналы, что с письмом что-то не так.

• Для доставки новых версий или функций вредоносного программного обеспечения на устройства жертв злоумышленники часто используют Telegram. В целях безопасности мессенджер применяет алгоритмы шифрования, поэтому традиционные средства защиты часто не могут проанализировать этот канал передачи информации, что позволяет хакерам скрываться очень долго.

Охота за данными

Чаще всего атаки на финансовые организации приводят к утечке данных, и доля таких случаев в мире растет. Согласно нашим исследованиям, в 2023 году кража конфиденциальной информации была зафиксирована в 64% инцидентов, тогда как в 2022 году — в 51%. И это объяснимо: финансовые организации обычно защищены лучше других компаний, поэтому сложные атаки с целью кражи денег становятся редким явлением. Злоумышленникам проще получить доступ к конфиденциальным данным, а потом шантажировать организации их раскрытием или использовать эту информацию в будущих атаках на конкретные жертвы.

Кстати, чтобы вывести данные на свои устройства, хакеры часто используют тот же самый Telegram.

Украденные файлы злоумышленники распространяют в дарквебе (сегмент интернета, в котором пользователи могут скрывать свою личность и местонахождение) — как за деньги, так и бесплатно. Статистика по всем изученным объявлениям в контексте атак на финансовые организации показывает, что хакеры крайне заинтересованы в этой информации. На долю объявлений о покупке, продаже или бесплатной раздаче баз данных приходится 42% сообщений. Многие из украденных файлов содержат персональные данные клиентов и коммерческую информацию компаний. Затем полученные базы дополняют данными из других утечек, чтобы повысить эффективность будущих атак. Что касается Кыргызстана, то, по данным наших аналитиков, встречаются объявления, в которых распространяется информация, украденная с сайтов автомобильных сервисов и компаний, оказывающих услуги по оформлению виз.

Защита на опережение

Традиционные средства защиты, используемые компаниями, бессильны в борьбе с современными киберугрозами. И все же на рынке информационной безопасности есть продукты, которые позволяют обнаруживать присутствие хакеров в системе компании на ранних этапах и правильно действовать для предотвращения последствий атак. Например NTA-системы, такие как PT Network Attack Discovery, выявляют аномальные сетевые активности и сложные целенаправленные атаки на периметре и внутри сети организации. Песочницы, например PT Sandbox, обнаруживают современное вредоносное ПО и предупреждают от этом пользователя и оператора security operations center (SOC). Продукты класса EDR, например MaxPatrol EDR, во всех популярных операционных системах защищают конечные точки (компьютеры, серверы и виртуальные рабочие места) от сложных и целевых атак. Системы мониторинга событий ИБ и управления инцидентами (MaxPatrol SIEM) помогают вовремя выявить подозрительную активность в инфраструктуре, а благодаря продуктам класса vulnerability management (MaxPatrol VM) получится настроить процесс управления уязвимостями и получать данные о трендовых уязвимостях в течение 12 часов. PT Application Firewall (и его облачная версия — PT Cloud Application Firewall), PT BlackBox, PT Application Inspector, PT Container Security помогут защитить веб-приложения от киберугроз. Благодаря им на каждом этапе жизненного цикла продукта получится минимизировать количество киберинцидентов: устранить уязвимости, обнаружить и заблокировать кибератаки, обезопасить контейнерные технологии.

Сталкиваясь с киберугрозами, все больше компаний осознают необходимость использования новейших средств безопасности и постепенно переходят на них, чтобы останавливать хакеров прежде, чем те успеют осуществить свой план. Вы можете провести бесплатный «пилот» продуктов Positive Technologies в собственной инфраструктуре.

¹ По результатам исследования Центра стратегически разработок в 2023 году.