Исследователи компании Positive Technologies рассказали о техниках, которые используют APT-группировки, чтобы проникнуть в инфраструктуру финансовых компаний, и как они действуют внутри, а также выяснили, на каких этапах можно выявить атаку и предотвратить кражу денег, сообщили в пресс-службе компании.

Самым распространенным и эффективным способом проникновения во внутреннюю сеть любой компании эксперты назвали фишинг.

— По нашим данным, 75% банков уязвимы к фишинговым атакам, — говорит старший аналитик компании Positive Technologies Екатерина Килюшева. — Этот метод настолько зарекомендовал себя среди киберпреступников, что к нему прибегала каждая исследованная нами APT-группировка, замеченная в атаках на кредитно-финансовую сферу.

Согласно исследованию Positive Technologies, в финансовых организациях выделяется большой бюджет на информационную безопасность, и их системы защиты находятся на высоком уровне. По мнению директора экспертного центра безопасности Positive Technologies (PT Expert Security Center) Алексея Новикова, этим объясняется большое количество используемых APT-группировками техник для обхода средств защиты.

— Например, чтобы избежать обнаружения антивирусом, вредоносное ПО доставляется в инфраструктуру в упакованном и зашифрованном виде (техники obfuscated files or information и software packing). Злоумышленники могут выдавать вредоносный код за легитимное ПО, подписав его цифровым сертификатом реально существующей компании (техника code signing). Для сокрытия каналов управления и дополнительной маскировки могут использоваться известные веб-сервисы, как в случае с группировкой Carbanak, которая использовала сервисы Google Docs и Pastebin для хранения своих скриптов, — отмечает Алексей Новиков.

По статистике, в течение нескольких дней, а иногда и недель злоумышленники изучают сеть, готовясь к краже. Преступники активно перемещаются между узлами сети в поисках банковских систем, используя легитимные утилиты для администрирования (техники service execution и Windows admin shares) и скомпрометированные учетные записи. По мнению специалистов, именно на этом этапе злоумышленники оставляют множество следов, и можно заметить подозрительные действия в системе. Постоянный мониторинг событий ИБ, а также глубокий анализ сетевого трафика в реальном времени и в ретроспективе могут распознать APT-атаку до того, как преступники получат доступ к банковским системам.

Согласно полученным данным, в некоторых финансовых организациях используются лишь базовые средства защиты, которых недостаточно для своевременного выявления сложных целенаправленных атак и полноценного анализа произошедших событий. Лишь 22% респондентов, представляющих финансовую отрасль, считают, что их компания в состоянии отразить атаки APT-группировок. При этом 63% респондентов на практике сталкивались с последствиями кибератак, и 34% признали, что организация понесла прямые финансовые потери.

Фото: pixabay.com, автор- TheDigitalArtist