Исследователи рассказали о техниках, которые используют APT-группировки, чтобы проникнуть в инфраструктуру финансовых компаний, и как они действуют внутри, а также выяснили, на каких этапах можно выявить атаку и предотвратить кражу денег. Самым распространенным и эффективным способом проникновения во внутреннюю сеть любой компании эксперты назвали фишинг. По их данным, 75% банков уязвимы к фишинговым атакам. Этот метод настолько зарекомендовал себя среди киберпреступников, что к нему прибегала каждая исследованная APT-группировка, замеченная в атаках на кредитно-финансовую сферу.
Согласно исследованию Positive Technologies, в финансовых организациях выделяется большой бюджет на информационную безопасность, и их системы защиты находятся на высоком уровне. Этим и объясняется большое количество используемых техник для обхода средств защиты. Например, чтобы избежать обнаружения антивирусом, вредоносное ПО доставляется в инфраструктуру в упакованном и зашифрованном виде. Злоумышленники могут выдавать вредоносный код за легитимное ПО, подписав его цифровым сертификатом реально существующей компании. Для сокрытия каналов управления и дополнительной маскировки могут использоваться известные веб-сервисы.
По статистике, в течение нескольких дней, а иногда и недель, злоумышленники изучают сеть, готовясь к краже. Преступники активно перемещаются между узлами сети в поисках банковских систем, используя легитимные утилиты для администрирования и скомпрометированные учетные записи. По мнению специалистов, именно на этом этапе злоумышленники оставляют множество следов, и можно заметить подозрительные действия в системе. Постоянный мониторинг событий ИБ, а также глубокий анализ сетевого трафика в реальном времени и в ретроспективе, могут распознать APT-атаку до того, как преступники получат доступ к банковским системам.
Согласно полученным данным, в некоторых финансовых организациях используются лишь базовые средства защиты, которых недостаточно для своевременного выявления сложных целенаправленных атак и полноценного анализа произошедших событий. Лишь 22% респондентов, представляющих финансовую отрасль, считают, что их компания в состоянии отразить атаки APT-группировок. При этом 63% респондентов на практике сталкивались с последствиями кибератак, а 34% признали, что организация понесла прямые финансовые потери.
