Эксперты предупредили об угрозе атак на банкоматы перед Новым годом

Эксперты предупредили об угрозе атак на банкоматы перед Новым годом

Эксперты предупредили об угрозе атак на банкоматы перед Новым годом

Перед новогодними праздниками банки и банкоматы уязвимы для атак мошенников, выяснил РБК. ЦБ предупредил банки о возможности атак на банкоматы без физического воздействия — с помощью писем от банков и органов власти.

Крупные российские банки могут подвергнуться масштабной кибератаке перед Новым годом, рассказали РБК специалисты компании Group-IB и «Лаборатории Касперского». Перед праздниками банкоматы заполнены деньгами, а сотрудники банков уделяют меньше внимания безопасности, отмечают специалисты. Среди возможных организаторов атак на банкоматы в Group-IB, которая специализируется на предотвращении и расследовании киберпреступлений, называют международную группировку Cobalt с российскими корнями.

Российские банки извещены регулятором о новом виде мошенничества, сообщил РБК представитель Банка России.

Преступная группа Cobalt начала атаки в июне 2016 года, говорится в расследовании Group-IB (имеется у РБК). Преступники грабят банкоматы без физического воздействия, проникая в локальную сеть банка и получая полный контроль над устройствами, говорится в расследовании Group-IB. По удаленной команде машины начинают выдавать наличность, а заранее подготовленные люди просто собирают деньги в сумки, следует из документа Group-IB, пишет rbc.ru.

В этом году ими уже были атакованы банки в России, Великобритании, Нидерландах, Испании, Румынии, Белоруссии, Польше, Эстонии, Болгарии, Грузии, Молдавии, Киргизии, Армении и Малайзии.

Чтобы проникнуть во внутреннюю сеть банка, Cobalt точечно отправляет в банки по электронной почте письма с вредоносными вложениями. «Фишинговые письма рассылаются от лица Европейского центрального банка, производителя банкоматов Wincor Nixdorf или от имени региональных банков», — уточняет Group-IB. Но на самом деле письма приходят с двух серверов с программой, изменившей адрес отправителя, при этом ЕЦБ, производитель банкоматов и региональные банки никакого отношения к этой рассылке не имеют.

Оба сервера, с которых рассылались письма, по данным Group-IB, находятся в России. В частности, для распространения вредоносных программ по банкам в русскоговорящем сегменте преступники использовали вложения с названиями «Договор_хранения2016.zip» и «Список документов.doc», говорится в расследовании.

После того как сотрудник банка запускает файл из фальшивого письма, вредоносное вложение загружается в оперативную память компьютера. «Это означает, что после перезагрузки операционной системы атакующие теряли контроль над этим компьютером», — пишет Group-IB. Чтобы «выжить», приложение автоматически прописывалось в автозагрузку. Дальше с помощью разнообразных способов преступники получали доступ к паролям администраторов системы банка. Это могло занимать у них от десяти минут до недели, говорится в расследовании. После атакующие обеспечивали себе удаленный доступ к локальной сети банка и привилегии, позволяющие им делать все, что необходимо для будущей кражи денег из банкоматов. Им требовалось только «закрепиться» и наладить резервные каналы доступа, если подозрительная активность будет замечена службами безопасности банка.

После того как преступники получали контроль над локальной сетью банка, они начинали искать сегменты, из которых можно добраться до управления банкоматами. Получив доступ к ним, группировка загружала на устройства программы, позволяющие управлять выдачей наличных, говорится в расследовании.

Один банкомат в несколько минут

Получив доступ к управлению банкоматами, преступники подходили к устройствам по выдаче наличных в разных концах города лишь с мобильным телефоном. «Он что-то сообщал по нему своим партнерам и готовил сумку. Через несколько минут банкомат начинал порциями выдавать деньги. После того как деньги в банкомате заканчивались, человек повторно связывался с партнерами и уходил», — пишет Group-IB. После опустошенный банкомат перезагружался. По данным Group-IB, съемом денег занимались небольшие группы, которые переходили к заранее определенным банкоматам и снимали деньги в течение нескольких часов.

В компании ожидают, что Cobalt может снова активизироваться в России в самое ближайшее время. Группировка начала многочисленные рассылки фишинговых писем с вредоносным вложением в российские банки месяц назад, рассказывает менеджер по развитию международного бизнеса Group-IB Виктор Ивановский. «Думаю, что они готовятся к ограблениям банкоматов к Новому году — это идеальное время для кражи, поскольку банкоматы к праздникам заполнены деньгами по максимуму. Поэтому мы считаем, что российским банкам необходимо повысить уровень бдительности и подготовиться к возможным атакам», — говорит Ивановский.

Атака на сети

Эксперт считает, что под угрозой атаки в первую очередь находятся крупные банки с разветвленной сетью банкоматов — от ста до тысячи. В первую очередь злоумышленники будут подбирать банки со слабыми местами в технической защите, говорит Ивановский.

Поскольку метод Cobalt позволяет опустошить все кассеты банкомата за считанные минуты, то потери банков при атаке группировкой могут быть очень высокими, считает Ивановский. В Европе, по его словам, только с одного банкомата при рабочем уровне загрузки группировка могла получить минимум €100 тыс. «Но атакой одного банкомата операция, как правило, не ограничивается», — предупреждает он.

Ивановский прогнозирует, что в будущем многие грабители сосредоточатся именно на формате краж, как у Cobalt, стараясь свести к минимуму воздействие на банкоматы и проникая в локальную банковскую сеть. «Будущее — это ограбление 30–100 банкоматов одновременно, а не одного», — говорит он.

Поэтому работники банков при малейшем подозрении на вредоносное письмо должные обращаться в службу безопасности банка, даже несмотря на, казалось бы, знакомый домен отправителя, продолжает Ивановский. «Вложения из таких писем открывать ни в коем случае нельзя. Опасность может представлять даже текстовый файл в формате rtf», — говорит он. По словам Ивановского, серьезно снизить возможность заражения поможет всего лишь своевременное обновление операционной системы и браузера.

Первые случаи атак на банки с помощью набора программ Cobalt Strike были зафиксированы еще в 2014 году, рассказывает ведущий антивирусный эксперт «Лаборатории Касперского» Сергей Голованов. С тех пор активность их использования только растет: программы появились в открытом доступе в интернете и стоят $3,5 тыс., продолжает он. По словам Голованова, ущерб от таких атак применительно к российским банкам может доходить до сотен миллионов рублей и ограничивается только числом тех, кто забирает деньги из банкоматов. Он соглашается с тем, что атака на российские банкоматы может быть предпринята перед Новым годом. «В целом можно сказать, что предновогодние дни период, когда активизируются злоумышленники, так как сотрудники банка, как и все в России, готовятся к длинным выходным и меньше уделяют внимания безопасности», — отмечает Голованов.

При этом угрозу для российских банков конкретно от деятельности Cobalt эксперт расценивает как «среднюю». По его мнению, российские банки по сравнению с многими другими достаточно хорошо защищены от атак. Однако Голованов уточняет, что в каждом случае все зависит от готовности каждого конкретного банка: системы его информационной безопасности, бюджета на IT, подготовки сотрудников.

Банковский и финансовый сектор был главной целью киберпреступников в течение последних нескольких лет. Согласно отчету специализирующегося в сфере информационной безопасности издания Infosecurity финансовые организации подвергаются кибератакам в три раза чаще по сравнению с компаниями в других отраслях. Чтобы противостоять росту киберпреступности, ведущие зарубежные банки увеличивают расходы на обеспечение безопасности в этой сфере. Ожидается, что по итогам 2016 года общая сумма расходов на кибербезопасность в международном банковском секторе составит $8,3 млрд.

Суммы при этом растут из года в год. Так, например, в 2014 году крупнейший американский банк JP Morgan Chase потратил на кибербезопасность $250 млн. Годом позже аналогичная статья для этой финансовой организации составила уже $500 млн (согласно оценке The Wall Street Journal).

Что касается российских банков, по словам руководителя службы кибербезопасности Сбербанка Сергея Лебедя, в 2016 году организация потратила около 1,5 млрд руб. Сумма сравнима с расходами на кибербезопасность в 2015-м, но в два раза превышает потраченные в этой сфере деньги за 2014 год.

ЦБ известил российские банки

Предновогодней активности злоумышленников ждут и в Банке России. «Есть вероятность усиления различных видов атак (включая информационные рассылки, публикации негативного и провокационного характера в социальных сетях, DDOS-атаки, рассылки вредоносного программного обеспечения и так далее) в течение декабря 2016 года», — сообщил РБК представитель ЦБ. По его словам, Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере (ФинЦЕРТ) регулярно оповещает всех участников информационного обмена о вредоносных рассылках, в том числе якобы от имени банков или органов исполнительной власти. ФинЦЕРТ является структурным подразделением главного управления безопасности и защиты информации Банка России.

В банках заявляют, что готовы к возможным предновогодним атакам на банкоматы, в том числе по методу Cobalt. «Понимая наличие подобных уязвимостей, ВТБ24 уже предпринял необходимые меры по защите своих устройств», — сказал РБК представитель банка. При этом, по его словам, атаки на банкоматы ВТБ и ВТБ24 без физического воздействия пока не фиксировались.

В пресс-службе «ФК Открытие» РБК заявили, что банку известно о деятельности Cobalt, но практически все письма с зараженными вложениями, которые приходят сотрудникам, отсекаются на уровне почтовых фильтров.

В практике Промсвязьбанка были попытки атак по методу Cobalt, рассказал директор по карточным технологиям банка Александр Петров. «Но в результате работы средств защиты на различных уровнях инфраструктуры банка они все были предотвращены», — добавил он.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Новый гендиректор МойОфис высказался о кризисе в компании

Генеральный директор компании «Новые облачные технологии», разработчика офисного комплекса «МойОфис», Вячеслав Закоржевский высказался о причинах кризиса в компании и представил пути выхода из него.

Закоржевский дал интервью «Ведомостям», где отметил, что в 2023 году у компании резко — на без малого 46% — снизилась выручка. Объем убытков превысил 5 млрд рублей. В 2024 году ситуация не изменилась.

Глава компании объяснил эту ситуацию издержками быстрого роста вследствие активного роста спроса на фоне вынужденного импортозамещения:

«У падения выручки причины разные. Получилось так, что к нам одномоментно пришло много клиентов. Бэк-офис и фронт-офис были не готовы, техническая поддержка была не готова. Все навалилось, и компания начала, скажем, работать в экстренном режиме перестройки. Это, конечно, сказалось на процессе. Помимо того, многие клиенты закупили многолетние контракты в 2022 г., когда только началось активное импортозамещение. Тогда и частные, и государственные клиенты оформляли 3-5-летние контракты. И оно вкупе привело к снижению финансовых показателей».

Гендиректор опроверг информацию об уходе крупных клиентов. Однако он признал, что были сложности с продлением контрактов на техническую поддержку. Были примеры и того, когда потенциальные заказчики отказывались от приобретения «МойОфис» из-за затянувшихся пилотов или отрицательных отзывов других компаний.

Однако, как отметил Вячеслав Закоржевский, на 50% срывы новых контрактов были обусловлены несовершенством внутренних процессов в компании:

«Раньше мы могли вернуться за фидбэком через месяц. А надо брать и сразу день в день выезжать и максимально все закрывать. Бывало такое, что компания обещала клиенту реализовать какие-то функции, а потом в течение года несколько раз меняла планы. Это все как раз несовершенство внутренних процессов».

Тем не менее количество пользователей продуктов компании он оценил в 12 500 государственных и корпоративных, а 25 тысяч приобрели платные версии для конечных пользователей. Загрузили бесплатную версию редакторов более 30 млн пользователей.

На начало 2025 года Вячеслав Закоржевский анонсировал три новых продукта в составе «МойОфис». Это редактор схем,  набор BI-инструментов с возможностью установки на серверах клиентов (on-premise), а также инструмент для защиты информации от утечек.

«В 2025 году мы планируем расширять портфолио решений и перейти от продаж отдельных продуктов к комплексным наборам. Так, чтобы все составляющие продавались единым пакетом, и заказчик получал все вместе», — так Вячеслав Закоржевский обозначил приоритеты компании по рыночной стратегии продвижения продуктов. Также новый генеральный директор компании анонсировал продажи продуктов зарубежным заказчикам, в том числе крупным.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru