В этом году хакеры успешнее всего атаковали финансовые организации с помощью вредоносного программного обеспечения — доля эффективности таких вторжений выросла на 12%, выяснили российские эксперты по кибербезопасности. Вдвое активнее мошенники стали использовать методы социальной инженерии, то есть психологические манипуляции сотрудниками банков. Злоумышленников интересуют не только средства на счетах, но и персональные данные пользователей, а также вред деятельности организации, рассказали эксперты. Банки рост числа атак в этом году подтвердили.
Как взламывают банки
Финансовые организации в этом году стали одной из основных целей хакеров, говорится в исследовании компании Positive Technologies (есть у «Известий»). Аналитики собрали данные об удавшихся кибератаках на банки, страховые компании, кредитные организации, операторов платежных систем, профессиональных участников рынка ценных бумаг, микрофинансовые организации, инвестиционные фонды.
Чаще всего жертвами кибератак становились именно банки — их было 65% от общего числа.
Основным инструментом злоумышленников в атаках на финансовые организации остается вредоносное программное обеспечение (ВПО). По данным исследования, в первой половине 2024 года доля успешных кибератак с его применением увеличилась на 12% по сравнению с аналогичным периодом годом ранее, составив 56% от общего числа дистанционных нападений.
Чаще всего используются шифровальщики — это программы, которые шифруют данные на устройстве и требуют у пользователя выкуп за их восстановление. На втором месте — трояны для удаленного доступа, их доля выросла в три раза и к середине года достигла 34%.
— Большинство таких программ имеют функции шпионского ПО, которое используют хакерские группировки. Такие сообщества во многих случаях целятся именно в финсектор, поскольку он тесно взаимодействует с госструктурами, — пояснила старший аналитик исследовательской группы Positive Technologies Анна Галушко.
Всё чаще, по ее словам, злоумышленники распространяют ВПО через электронную почту. Число успешных кибератак с использованием приемов социальной инженерии (манипуляции пользователями) резко увеличилось — до 65% по сравнению с 29% годом ранее. Например, в июне была фишинговая рассылка для сотрудников одного из крупных российских банков. В электронных письмах говорилось, что необходимо продлить дополнительное соглашение, которое прилагалось. Но на самом деле в прикрепленном файле содержалась вредоносная программа с функциями шпионского ПО и удаленного доступа.
Среди других популярных методов атак на финансовые организации — эксплуатация уязвимостей, то есть использование проблем в ПО организаций. Так, эксперты обнаружили, что ряд банков стран Африки, Ближнего Востока и России были скомпрометированы с помощью уязвимостей почтового сервера. На него удалось встроить программу, позволявшую незаметно собирать учетные данные, которые затем могли использоваться для атаки на компании.
В этом поле работают как киберпреступники, так и кибертеррористы, отметил сооснователь компании Cyberus Юрий Максимов.
— Киберпреступники монетизируют вред, который могут нанести. А если речь идет о кибертерроризме, то таким хакерам важна не собственная выгода, а потери жертвы, — сказал он. — Если киберпреступники могут просто украсть у финансовой организации деньги, то кибертеррористы, например, смешают номера счетов и данные их владельцев, что приведет для клиентов к потере всех средств.
Каковы последствия атак на финорганизации
Чаще всего кибератаки приводят к утечкам данных: в 2024 году их доля среди других последствий составила 80%. Каждая четвертая утечка информации содержала учетные данные.
На теневых форумах чаще всего встречались объявления с предложением баз данных клиентов российских микрофинансовых организаций. В большинстве случаев эту похищенную информацию раздают на таких ресурсах бесплатно, отметили авторы исследования. А вот аутентификационная информация сотрудников, позволяющая получить доступ в инфраструктуру организации, представляет особую ценность, поэтому ее продают.
Одной из основных целей злоумышленников остается и нарушение стабильной работы организации, сообщили авторы исследования. В этом году это удавалось сделать в 16% случаев, что меньше, чем годом ранее — 52% случаев.
Повышенную активность атак мошенников на инфраструктуры банка в этом году подтвердили «Известиям» в пресс-службе ВТБ. Увеличение числа DDoS-атак в 2024 году фиксирует и «Сбер».
«Их количество увеличилось на треть, что соотносится с общим ростом числа таких атак на российские финансовые организации, — сообщили в пресс-службе банка. — Например, в конце июля была серия DDoS-атак, целями которых стали более 10 крупных российских банков, в том числе «Сбер». Зафиксированная DDoS-атака стала мощнейшей в истории банка и длилась более 13 часов».
При этом там отметили, что клиенты никак не почувствовали на себе последствия этой атаки: она была отражена службой кибербезопасности банка.
Об участившихся DDoS-атаках, случаях отправки вредоносного ПО, а также об использовании дропперов (подставных лиц, на счета которых зачисляют похищенные средства) рассказал «Известиям» директор департамента кибербезопасности Абсолют Банка Руслан Ложкин.
— Характер DDoS-атак изменился, и классические средства информационной безопасности не всегда могут с ними справиться. Атаки стали целенаправленными. Если злоумышленники видят, что средства атак быстро детектируются, то саму атаку дальше не пытаются развивать, — пояснил он.
Значительная часть взломов в финансовом секторе может быть скрыта от публичного внимания и отражаться лишь в объявлениях на теневых форумах, добавила старший аналитик направления аналитических исследований Positive Technologies Анна Голушко.
— По итогам первой половины 2024 года на теневом рынке мы зафиксировали в пять раз больше объявлений, чем среди публично раскрываемых инцидентов, — отметила она.
Далеко не все банки готовы признать, что подверглись атаке, согласна директор по развитию бизнеса в финансовой отрасли Positive Technologies Елена Козлова.
— Они опасаются в том числе репутационных последствий. Хотя случаи публичного признания таких инцидентов есть, — отметила она.
Злоумышленников в подавляющем большинстве случаев интересует монетизация своих действий и полученного доступа, если не брать в расчет хакеров-активистов, которые составляют небольшой процент от взломщиков, добавил руководитель направления информационной безопасности iTPROTECT Кай Михайлов.
— Прежде всего в финансовых организациях есть возможность прямого получения денежных средств, которые могут быть украдены со счетов физических лиц или самой организации. На промышленном предприятии злоумышленник может получить доступ к проведению платежей от имени этой компании и вывести часть средств, — рассказал он.
А вот иные данные компаний, по его словам, менее ценны.
— Их еще необходимо продать или использовать с целью вымогательства, что не так просто, — пояснил Кай Михайлов. — Наименее прибыльной, но наиболее безопасной становится скрытая продажа доступов другим злоумышленникам. В этом случае первоначальному взломщику легче остаться незамеченным и уйти от ответственности.
Как повысить информационную безопасность
Новые киберугрозы появляются стремительно, поэтому важно не только использовать передовые инструменты информационной безопасности, но и защищать продукты уже в процессе разработки, обратила внимание Елена Козлова. Но злоумышленники, поняв, что банк защищен, попытаются получить доступ к нему через партнеров, подрядчиков или разработчиков продуктов.
— Это особенно актуально для приложений, в которых применяют популярные в финсекторе технологии на базе искусственного интеллекта, 77% компаний уже столкнулись с инцидентами в подобных системах, — рассказала она.
Финансовые вложения в информационную безопасность — необходимая задача, но для многих компаний непосильная, отметил частный инвестор, основатель «Школы практического инвестирования» Федор Сидоров.
— Повышение налога на прибыль и высокая ключевая ставка ограничивают финансовые возможности компаний как в развитии отечественного ПО, так и во внедрении комплексных решений информационной безопасности, — подчеркнул он.
Технологическое развитие очень быстро ушло вперед, а безопасность при этом отстала, так что в целом вся индустрия испытывает некое смятение, полагает сооснователь Фонда развития результативной кибербезопаности Cyberus Юрий Максимов. Необходимо, по его словам, думать на несколько шагов вперед, создавать новые цифровые продукты, где кибербезопасность будет неотъемлемой составляющей.