В 2024 году Банк России выявил более 750 атак на финансовые организации
В 2024 году Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере департамента информационной безопасности Банка России (ФинЦЕРТ) получил от участников информационного обмена более 750 сообщений о фактах компьютерных атак и компьютерных инцидентов (.pdf). Основными стали DDoS-атаки (325 случаев), атаки с использованием вредоносного программного обеспечения (ВПО, 109 случаев), компрометация учетных данных (121 случай). Кроме того, хакеры проводили атаки с использованием фишинговых ресурсов, сканирования портов, эксплуатации уязвимостей информационной инфраструктуры. С использованием методов социальной инженерии произошло только 35 инцидентов.
Как отмечает ЦБ, в прошлом году самыми популярными типами ВПО были Trojan. Agensla.gen и Trojan-PSW.MSIL.Stealer.gen, которые используются для кражи учетных данных пользователей, а также удаленного подключения и управления зараженным устройством. Кроме того, увеличилась активность ВПО типа Trojan-Ransom, позволяющего зашифровывать данные на зараженном устройстве. Чаще всего в результате этих атак злоумышленники требовали выкуп для расшифровки данных пострадавшей организации. В ЦБ связывают эту активность с появлением в открытом доступе кодов вирусов-шифровальщиков крупных группировок.
Как отмечают в Банке России, наиболее популярным в 2024 году способом получения первоначального доступа в системы компаний финансовой сферы стала компрометация подрядных организаций. В частности, за прошлый год ФинЦЕРТ выявил 17 инцидентов у организаций, предоставляющих ИТ-услуги более чем для 70 компаний финансовой сферы, включая системно значимые кредитные организации.
Как считают в ЦБ, в нынешнем году злоумышленники продолжат использовать «комбинацию инструментов и методов для скрытого проникновения, создания условий долговременного присутствия и разрушения информационных инфраструктур компаний». Кроме того, с целью сбора и кражи чувствительной информации «мошенники будут стараться оставаться в системах как можно дольше, чтобы лучше изучить инфраструктуру». В связи с этим ожидается увеличение времени между компрометацией системы и фактами ее выявления со стороны служб информационной безопасности. Также в 2025 году сохранится «проблема атрибуции и обнаружения следов злоумышленников в связи с использованием ими скомпрометированных серверов, VPN и мобильных прокси для маскирования атак».