Хакеров не обошли молчанием
Атаку группировки Silence на банки заметил ЦБ
Российские банки подверглись массовой атаке хакеров — ЦБ сообщил о фишинговых рассылках группировки Silence. Интересна атака не только масштабом (только Сбербанк получил 1,5 тыс. писем с вредоносными вложениями), но и тем, что рассылка шла с серверов в России. Сейчас в Госдуме находится законопроект, который даст возможность ЦБ блокировать фишинговые сайты и сможет эффективнее защитить рынок от подобных атак. Но для этого проект необходимо доработать, в том числе с учетом опыта последних рассылок, отмечают эксперты.
На прошлой неделе ФинЦЕРТ (подразделение ЦБ по кибербезопасности) разослал по банкам бюллетени о фишинговой рассылке Silence. В частности, в рассылках от 16 января (есть в распоряжении “Ъ”) регулятор отмечает массовое распространение вредоносного ПО от имени несуществующих кредитных организаций — банков ICA, «Урал Развитие», «Финансовая перспектива», CCR, ЮКО, «БанкУралпром», а также якобы от организаторов финансового форума iFIN-2019.
Silence — группа русскоговорящих хакеров, впервые активность зафиксирована в 2016 году. Специализируется на целевых атаках на банки, рассылая фишинговые письма с вредоносными вложениями.
Текущая рассылка выделяется по нескольким параметрам. Первый — охват. В частности, Сбербанк фиксировал получение фишинговых писем в течение нескольких дней до 18 января включительно. «На средствах защиты по состоянию на 18 января зафиксированы и успешно заблокированы 1,5 тыс. вредоносных писем, имеющих отношение к рассылке Silence,— отметили в банке.— Рассылка продолжается, мы осуществляем усиленный контроль развития данной серии атак». О получении и успешной блокировке писем из фишинговой рассылки говорят также в Газпромбанке, Райффайзенбанке и Московском кредитном банке, отмечая, что ни сотрудники, ни клиенты не пострадали.
В ЦБ “Ъ” пояснили, что атака превышала стандартные масштабы, но «чрезвычайно большого объема» писем не было.
Во-вторых, в атаке использовалась качественная социальная инженерия, что нехарактерно для Silence. «Достаточно серьезно вкладываясь в инструменты, эта группировка обычно очень мало модифицирует и усложняет "социальный" вектор рассылки, используя типовые фишинговые уловки,— отметил операционный директор центра мониторинга и реагирования на кибератаки "Ростелеком-Solar" Антон Юдаков.— Однако на этот раз присутствовал крайне правдоподобный текст письма, идеально повторяющего официальное приглашение на профильную конференцию». По его словам, усовершенствованный социальный вектор существенно повышает результативность рассылки.
В-третьих, атака проведена с использованием серверов на территории РФ. В информационном бюллетене от 16 января ФинЦЕРТ указано, что для данной рассылки использовались, в частности, и домены из зоны .ru (fpbank.ru, bankurs.ru, ccrbank.ru). В ЦБ подтвердили “Ъ”, что в организации атаки были задействованы в числе прочего серверные мощности с IP-адресами в российской зоне интернета.
Артем Сычев, первый заместитель главы департамента информационной безопасности ЦБ, 27 ноября 2018 года
На сегодняшний момент мы видим два основных тренда. Первый тренд — это увеличение количества атак... Второй тренд …идет постепенное снижение количества денег, которые …финансовая система теряет от таких атак
Законопроект, дающий регулятору право самостоятельно блокировать подобные фишинговые ресурсы, позволит ускорить реагирование на атаки подобного рода, отметили в ЦБ. Речь идет о документе, который даст возможность ЦБ самостоятельно подавать в суд иски по блокировке сайтов, информация на которых может привести в числе прочего к хакерским атакам (см. “Ъ” от 11 января).
Однако для эффективной борьбы с фишинговыми рассылками законопроект потребуется доработать. «В текущей версии блокировка опасного ресурса возможна в течение нескольких дней, тогда как при фишинговой рассылке наибольшее количество опасных писем открывается в первые часы,— отметил руководитель аналитического центра Zecurion Analitics Владимир Ульянов.— Для эффективной защиты необходима возможность реагировать в течение нескольких часов».
Кроме того, проект позволяет блокировать только сайты, содержащие опасную информацию, а для фишинговой рассылки нет необходимости создавать сайт, достаточно зарегистрировать домен и создать почту. «Важно, чтобы была возможность блокировать домены и в таких случаях,— уверен руководитель лаборатории практического анализа защищенности "Инфосистемы Джет" Лука Сафонов.— Кроме того, часто легально работающие сервисы не уделяют внимания безопасной настройке почты, и злоумышленники получают возможность отправлять почту через них, в том числе и с поддельным адресом отправителя».