itkvariat

    10 APT-группировок атакуют кредитно-финансовые организации




    Эксперты компании Positive Technologies проанализировали тактики и техники десяти APT-группировок, атаковавших финансовые компании за последние два года [1], и выяснили, что каждая из них прибегает к фишингу, а в поисках банковских систем в сети преступники используют легитимные утилиты для администрирования и скомпрометированные учетные данные.

    Исследователи рассказали о техниках, которые используют APT-группировки, чтобы проникнуть в инфраструктуру финансовых компаний, и как они действуют внутри, а также выяснили, на каких этапах можно выявить атаку и предотвратить кражу денег.
    Самым распространенным и эффективным способом проникновения во внутреннюю сеть любой компании эксперты назвали фишинг. «По нашим данным, 75% банков уязвимы к фишинговым атакам, — говорит старший аналитик компании Positive Technologies Екатерина Килюшева. — Этот метод настолько зарекомендовал себя среди киберпреступников, что к нему прибегала каждая исследованная нами APT-группировка, замеченная в атаках на кредитно-финансовую сферу».

    Согласно исследованию Positive Technologies, в финансовых организациях выделяется большой бюджет на информационную безопасность, и их системы защиты находятся на высоком уровне. По мнению директора экспертного центра безопасности Positive Technologies (PT Expert Security Center) Алексея Новикова, этим объясняется большое количество используемых APT-группировками техник для обхода средств защиты. «Например, чтобы избежать обнаружения антивирусом, вредоносное ПО доставляется в инфраструктуру в упакованном и зашифрованном виде (техники obfuscated files or information и software packing). Злоумышленники могут выдавать вредоносный код за легитимное ПО, подписав его цифровым сертификатом реально существующей компании (техника code signing). Для сокрытия каналов управления и дополнительной маскировки могут использоваться известные веб-сервисы, как в случае с группировкой Carbanak, которая использовала сервисы Google Docs и Pastebin для хранения своих скриптов», — отмечает Алексей Новиков. 

    По статистике, в течение нескольких дней, а иногда и недель[2] злоумышленники изучают сеть, готовясь к краже. Преступники активно перемещаются между узлами сети в поисках банковских систем, используя легитимные утилиты для администрирования (техники service execution и Windows admin shares) и скомпрометированные учетные записи. По мнению специалистов, именно на этом этапе злоумышленники оставляют множество следов, и можно заметить подозрительные действия в системе. Постоянный мониторинг событий ИБ, а также глубокий анализ сетевого трафика в реальном времени и в ретроспективе могут распознать APT-атаку до того, как преступники получат доступ к банковским системам.

    «Сегодня ФинЦЕРТ организует удобный и эффективный канал обмена информацией об угрозах между финансовыми организациями. Однако важно не только знать о новейших индикаторах компрометации, но и использовать технические решения, которые умеют применять такие индикаторы, а самое главное осуществлять поиск этих индикаторов в прошлом. Такой подход помогает выявить присутствие злоумышленников в инфраструктуре даже в том случае, если в момент проведения атаки о ней ничего не было известно, — подчеркивает Алексей Новиков.

    Согласно полученным данным[3], в некоторых финансовых организациях используются лишь базовые средства защиты, которых недостаточно для своевременного выявления сложных целенаправленных атак и полноценного анализа произошедших событий. Лишь 22% респондентов, представляющих финансовую отрасль, считают, что их компания в состоянии отразить атаки APT-группировок. При этом 63% респондентов на практике сталкивались с последствиями кибератак, и 34% признали, что организация понесла прямые финансовые потери.

    [1] Пять из них не были замечены в атаках на финансовую сферу в России, но поскольку в списке их жертв значатся иностранные финансовые компании, эксперты считают, что они представляют потенциальную угрозу для финансовых организаций и на территории России, а также для их дочерних компаний, находящихся за рубежом.
    [2] По данным ФинЦЕРТ, в среднем с момента проникновения в инфраструктуру до момента хищения проходит 20–30 дней.
    [3] Опрос проводился среди посетителей сайта компании Positive Technologies, аудитории интернет-портала SecurityLab.ru и участников ряда отраслевых сообществ.






    Подписывайтесь и читайте новости от ITквариат раньше остальных в нашем Telegram-канале !



    Заметили ошибку? Выделите ее мышкой и нажмите Ctrl+Enter!  




    И еще об интересном...
  • Троян, записывающий действия пользователей, атаковал десятки промышленных и финансовых организаций
  • ФинЦЕРТ при участии Positive Technologies выпустил отчет об атаках: киберпреступники могут преодолеть периметр 75% банков
  • Positive Technologies: пентестеры смогли войти во внутренние сети 92% компаний
  • Positive Technologies объяснила как современные хакеры грабят банки
  • Итоги второго дня PHDays 8: Games Over
  • Что случилось в первый день PHDays 8 или "Цифра" наизнанку
  • Positive Technologies предупреждает: больше половины систем ДБО содержат критически опасные уязвимости


  • А что вы думаете? Напишите в комментариях!
    Кликните на изображение чтобы обновить код, если он неразборчив



    В комментариях запрещено использовать ненормативную лексику, оскорблять других пользователей сайта, запрещены активные ссылки на сторонние сайты и реклама в комментариях. Уважаемые читатели! Просим вас, оставляя комментарии, уважать друг друга и не злоупотреблять свободой слова. Пользователи, которые нарушают эти правила грубо или систематически, будут заблокированы.

    Полная версия правил

Самое популярное
    
Проверьте скорость вашего интернета!


Что бывало...
  • 06 сентябрь 2016

    Leisure Suit Larry. Как это было…

    Если спросить сегодня геймеров «старой школы», какой персонаж игровых квестов для них является самым главным, наверняка

Наши друзья
Сервисный центр Five Service

Магазин кабелей и аксессуаров UGREEN

Самоклейкин

Смарт



10 APT-группировок атакуют кредитно-финансовые организации




Эксперты компании Positive Technologies проанализировали тактики и техники десяти APT-группировок, атаковавших финансовые компании за последние два года [1], и выяснили, что каждая из них прибегает к фишингу, а в поисках банковских систем в сети преступники используют легитимные утилиты для администрирования и скомпрометированные учетные данные.

Исследователи рассказали о техниках, которые используют APT-группировки, чтобы проникнуть в инфраструктуру финансовых компаний, и как они действуют внутри, а также выяснили, на каких этапах можно выявить атаку и предотвратить кражу денег.
Самым распространенным и эффективным способом проникновения во внутреннюю сеть любой компании эксперты назвали фишинг. «По нашим данным, 75% банков уязвимы к фишинговым атакам, — говорит старший аналитик компании Positive Technologies Екатерина Килюшева. — Этот метод настолько зарекомендовал себя среди киберпреступников, что к нему прибегала каждая исследованная нами APT-группировка, замеченная в атаках на кредитно-финансовую сферу».

Согласно исследованию Positive Technologies, в финансовых организациях выделяется большой бюджет на информационную безопасность, и их системы защиты находятся на высоком уровне. По мнению директора экспертного центра безопасности Positive Technologies (PT Expert Security Center) Алексея Новикова, этим объясняется большое количество используемых APT-группировками техник для обхода средств защиты. «Например, чтобы избежать обнаружения антивирусом, вредоносное ПО доставляется в инфраструктуру в упакованном и зашифрованном виде (техники obfuscated files or information и software packing). Злоумышленники могут выдавать вредоносный код за легитимное ПО, подписав его цифровым сертификатом реально существующей компании (техника code signing). Для сокрытия каналов управления и дополнительной маскировки могут использоваться известные веб-сервисы, как в случае с группировкой Carbanak, которая использовала сервисы Google Docs и Pastebin для хранения своих скриптов», — отмечает Алексей Новиков. 

По статистике, в течение нескольких дней, а иногда и недель[2] злоумышленники изучают сеть, готовясь к краже. Преступники активно перемещаются между узлами сети в поисках банковских систем, используя легитимные утилиты для администрирования (техники service execution и Windows admin shares) и скомпрометированные учетные записи. По мнению специалистов, именно на этом этапе злоумышленники оставляют множество следов, и можно заметить подозрительные действия в системе. Постоянный мониторинг событий ИБ, а также глубокий анализ сетевого трафика в реальном времени и в ретроспективе могут распознать APT-атаку до того, как преступники получат доступ к банковским системам.

«Сегодня ФинЦЕРТ организует удобный и эффективный канал обмена информацией об угрозах между финансовыми организациями. Однако важно не только знать о новейших индикаторах компрометации, но и использовать технические решения, которые умеют применять такие индикаторы, а самое главное осуществлять поиск этих индикаторов в прошлом. Такой подход помогает выявить присутствие злоумышленников в инфраструктуре даже в том случае, если в момент проведения атаки о ней ничего не было известно, — подчеркивает Алексей Новиков.

Согласно полученным данным[3], в некоторых финансовых организациях используются лишь базовые средства защиты, которых недостаточно для своевременного выявления сложных целенаправленных атак и полноценного анализа произошедших событий. Лишь 22% респондентов, представляющих финансовую отрасль, считают, что их компания в состоянии отразить атаки APT-группировок. При этом 63% респондентов на практике сталкивались с последствиями кибератак, и 34% признали, что организация понесла прямые финансовые потери.

[1] Пять из них не были замечены в атаках на финансовую сферу в России, но поскольку в списке их жертв значатся иностранные финансовые компании, эксперты считают, что они представляют потенциальную угрозу для финансовых организаций и на территории России, а также для их дочерних компаний, находящихся за рубежом.
[2] По данным ФинЦЕРТ, в среднем с момента проникновения в инфраструктуру до момента хищения проходит 20–30 дней.
[3] Опрос проводился среди посетителей сайта компании Positive Technologies, аудитории интернет-портала SecurityLab.ru и участников ряда отраслевых сообществ.






Подписывайтесь и читайте новости от ITквариат раньше остальных в нашем Telegram-канале !



Заметили ошибку? Выделите ее мышкой и нажмите Ctrl+Enter!  




И еще об интересном...
  • Троян, записывающий действия пользователей, атаковал десятки промышленных и финансовых организаций
  • ФинЦЕРТ при участии Positive Technologies выпустил отчет об атаках: киберпреступники могут преодолеть периметр 75% банков
  • Positive Technologies: пентестеры смогли войти во внутренние сети 92% компаний
  • Positive Technologies объяснила как современные хакеры грабят банки
  • Итоги второго дня PHDays 8: Games Over
  • Что случилось в первый день PHDays 8 или "Цифра" наизнанку
  • Positive Technologies предупреждает: больше половины систем ДБО содержат критически опасные уязвимости


  • А что вы думаете? Напишите в комментариях!
    Кликните на изображение чтобы обновить код, если он неразборчив



    В комментариях запрещено использовать ненормативную лексику, оскорблять других пользователей сайта, запрещены активные ссылки на сторонние сайты и реклама в комментариях. Уважаемые читатели! Просим вас, оставляя комментарии, уважать друг друга и не злоупотреблять свободой слова. Пользователи, которые нарушают эти правила грубо или систематически, будут заблокированы.

    Полная версия правил
    ITквариат (АйТиквариат) Powered by © 1996-2024