В 2019 году хакеры будут активно использовать реализованную в конце 2018 году схему, когда взлом одного банка позволяет успешно атаковать его контрагентов, отмечают в Solar JSOC. При этом хакеры унифицируют свои инструменты — уже сейчас банки и их контрагенты атакуются при помощи единых фишинговых рассылок с одинаковыми вирусами. В банках разделяют данные опасения, отмечая, что теперь им придется тщательно защищать всю сеть своих коммуникаций.
Прогноз экспертов по информационной безопасности на 2019 год неутешительный. Директор центра мониторинга и реагирования на кибератаки Solar JSOC Владимир Дрюков отмечает, что рост количества атак на компании в этом году сохранится. «Высока вероятность возникновения атак, подобных тем, что производились в отношении некоторых платежных систем в 2018 году»,— отметил господин Дрюков. В конце прошлого года был громкий инцидент, когда злоумышленникам удалось взломать банк «Юнистрим», получить контроль над его почтовым сервером, и в итоге вредоносные рассылки от его имени пошли по контрагентам банка. Для отдельных игроков подобные «дружественные» письма обернулись хищением денежных средств (см. “Ъ” от 21 декабря 2018 года). Те же опасения высказал и директор экспертного центра безопасности Positive Technologies Алексей Новиков. «Мы прогнозируем, что в этом году злоумышленники продолжат атаковать слабо защищенные компании для проведения атаки на конечную цель, в зоне риска находятся компании из тех областей, где уровень защищенности пока не очень высок: сфера услуг, образование, медицина или розничная торговля»,— отметил он.
В 2018 году на 19% возросло количество критичных инцидентов, в том числе и тех, что позволяют похитить более 1 млн руб. Это самый высокий показатель начиная с 2015 года, отмечается в аналитическом отчете Solar JSOC.
По словам Алексея Новикова, рост критичных инцидентов коррелирует с общим ростом атак. По итогам прошлого года их число увеличилось почти на треть, при этом доля целенаправленных атак в общем объеме превысила половину, что очень отличается от реалий последних лет.
При этом в 2018 году, как отмечается в отчете Solar JSOC, хакеры при атаках на корпоративных клиентов использовали те же средства, что и при атаках на кредитные организации.
Герман Греф, глава Сбербанка, на Международном конгрессе по кибербезопасности 6 июля 2018 года
Хакеры не менее опасны, чем вооруженные преступники
Одинаковые фишинговые письма с вредоносом выявляли в банках, энергетических и промышленных предприятиях. Всего же при сложных целевых атаках на компании фишинг использовался в 70% случаев, тогда как в 2017 году — лишь в 54% случаях. «Банки традиционно более защищены — их чаще атакуют, и потому у них выше готовность к попыткам взлома, плюс есть достаточно жесткие требования регулятора,— отмечает руководитель лаборатории практического анализа защищенности "Инфосистемы Джет" Лука Сафонов.— Другие компании в среднем защищены слабее, и потому эффективность тех же фишинговых рассылок может быть выше в небанковской сфере».
Тренд единых атак на банки и их клиентов активно начал проявляться во втором полугодии 2018 года. Именно в этот период, отмечается в отчете, сменился «лидер» среди вредоносов для фишинговых рассылок — «корпоративный» троян Dimnie уступил место банковскому трояну RTM. Единый подход, судя по цифрам, уже принес свои плоды. Так, в 2018 году компании были атакованы на 89% чаще, чем в 2017 году, причем во втором полугодии отмечался резкий рост атак с целью хищения денежных средств (на 37% по сравнению с первым полугодием). По данным ФинЦЕРТ ЦБ, из 6,15 тыс. несанкционированных трансакций, зафиксированных в целом за 2018 год, 5,7 тыс. операций пришлось на второе полугодие, причем 4,8 тыс. из них — на четвертый квартал. При этом, по данным Solar JSOC, во втором полугодии хакеры атаковали компании не только для вывода у них средств — на 20% также возросли атаки, направленные на получение контроля над инфраструктурой жертвы.
Эксперты не исключают, что при атаках на компании конечной целью может быть именно банк.
«Вероятен взлом контрагента банка с целью далее атаковать кредитную организацию»,— отмечает Лука Сафонов. И кредитные организации весьма опасаются таких перспектив. «Банки неплохо защищены против традиционных атак, потому злоумышленникам приходится использовать доверенные источники доставки вредоноса: подрядчиков, деловых партнеров,— отмечает глава департамента информационной безопасности ОТП-банка Сергей Чернокозинский.— Вектор атак, скорее всего, действительно пойдет через доверенных контрагентов, и потому банкам придется защищать всю сеть своих коммуникаций».