Об отчете
Настоящий отчет посвящен анализу состояния кибербезопасности в финансовом секторе в 2024 году.
Исследование включает:
1) данные об атаках на инфраструктуры клиентов ГК «Солар»
- центра противодействия кибератакам Solar JSOC
- сети сенсоров и ханипотов Solar 4RAYS
2) данные мониторинга внешних киберрисков
- центра мониторинга внешних цифровых угроз Solar AURA
Ключевые тезисы
- Количество подтвержденных инцидентов на финсектор, зафиксированных сервисом мониторинга Solar JSOC, за год выросло на треть и достигло почти 9 тыс. (подтвержденных инцидентов);
- В топе киберугроз для отрасли: сетевые атаки, эксплуатация уязвимостей и вредоносное ПО;
- В части ВПО чаще всего финансовые организации сталкиваются с инструментами удаленного администрирования (RAT), стиллерами, ботнетами и известными инструментами АРТ-группировок;
- В 2024 году в сеть утекло 410 млн строк данных из финансовых организаций, включая персональные данные пользователей, их телефоны, e-mail;
- В среднем в день в даркнете появляется 4 новых объявления о продаже подставных компаний для нелегальной деятельности.
Сводная статистика инцидентов в инфраструктурах финансовых организаций
В этом разделе представлены данные мониторинга киберинцидентов в инфраструктурах клиентов центра противодействия кибератакам Solar JSOC.
В 2024 году сервис Solar JSOC зафиксировал почти 9 тыс. киберинцидентов в кредитно-финансовом секторе, что на треть превышает аналогичный показатель 2023 года.
Рапределение инцидентов по типам
В ТОП-3 типов инцидентов входят: сетевые атаки, эксплуатация уязвимостей, заражение ВПО. Далее следуют попытки несанкционированного доступа к корпоративным системам и сервисам и компрометации учетных записей.
Доля сетевых атак за год выросла (с 14% в 2023 году до 27% в 2024). К сетевым атакам относятся в первую очередь несанкционированное внутреннее сетевое сканирование. То есть изучение злоумышленниками состава внутренней сети: приложений, систем, устройств. Это свидетельствует о том, что хакеры уже преодолели внешний периметр и пытаются развить атаку внутри. Поэтому вовремя выявленная сетевая атака может пресечь атаку в самом ее начале и не допустить фатальных последствий для компании.
Доля эксплуатации уязвимостей, напротив, сократилась: с 36% до 27%. Уязвимости используются хакерами на всех этапах развития атаки: при попытках взлома веб-ресурсов, приложений и сервисов жертвы, при горизонтальном продвижении по сети и повышении привилегий на хосте, при попытках компрометации систем банка внутри инфраструктуры. Именно поэтому регулярный патч-менеджмент и налаженный процесс управления уязвимостями остается основой построения безопасной инфраструктуры.
Заражение вредоносным ПО замыкает ТОП инцидентов: доля за год выросла с 8% до 14%. Финансовый сектор более устойчив к подобным угрозам, чем другие отрасли. Подробнее о активности вирусов и вредоносов в финсекторе расскажем далее в отчете.
Статистика по заражению отрасли вредоносным ПО
В данном разделе приведена статистика по заражению организаций вредоносным ПО, по данным с сети сенсоров и ханипотов центра исследования киберугроз Solar 4RAYS.
Эти данные позволяют выделить индикаторы компрометации, относящиеся к разным типам угроз (вредоносное ПО конкретного типа). Это ВПО для майнинга криптовалют, программы-вымогатели (шифровальщики), стиллеры, сложные киберугрозы (индикаторы APT-группировок), загрузчики (ВПО для загрузки другого ВПО), ботнеты, фишинг и средства удаленного доступа (Remote Access Tools, RAT).
На финансовые организации приходится небольшая доля всех зафиксированных фактов заражения ВПО – всего 4%. Это указывает на то, что финсектор хорошо оснащен базовой защитой, которая позволяет детектировать распространенные угрозы.
Наибольшую угрозу для отрасли представляют инструменты удаленного доступа – Remote Administration Tools (RAT). На них приходится 37% всех заражений. В зависимости от функциональности такие вредоносы позволяют злоумышленнику дистанционно управлять атакованной системой (менять и выгружать данные, делать скриншоты, менять настройки оборудования и т.п.).
Еще 19% инцидентов связано с атакой вирусов-стиллеров. Это ВПО, которое в автоматизированном режиме собирает информацию с зараженной инфраструктуры.
Замыкает ТОП-3 вредоносов индикаторы известных APT-группировок. Как правило, это факты обращения к серверам управления (С2) из зараженной инфраструктуры.
Распространение ВПО в финсекторе
Как видно, наибольшую угрозу для отрасли представляют вирусы и вредоносы, которые нацелены на получение доступа к системам, содержащим конфиденциальную информацию, и ее хищение. Это ожидаемо, так как финорганизации хранят множество персональных данных и финансовой информации, которая всегда интересна злоумышленникам.
Квалифицированные хакеры также пытаются проникнуть в банковские системы, используя как готовое несложное, так и кастомное самописное ВПО. Их целью может быть как сама банковская инфраструктура, так и данные клиентов, которые можно в дальнейшем использовать в других целевых атаках.
Внешние цифровые угрозы в финансовом секторе
В 2024 году сервисом мониторинга внешних цифровых угроз Solar AURA было выявлено 39 инцидентов – сообщений об утечках, включая случаи публикаций баз данных российских компаний из финансовой отрасли. По количеству утечек финансовый сектор занимает лишь 10-е место, отставая от лидера (отрасли ритейла) в семь раз.
Однако общий объем утечек составил более 410 млн строк данных. И по этому показателю финансовая отрасль лидирует, опережая в том числе и госсектор. В перечне данных: ФИО клиентов, даты рождения, адреса, номера телефона, e-mail и прочая персональная информация.
Распределение утечек по отраслям (млн строк)
Самые крупные инциденты произошли в январе и марте 2024 года – 115 млн и 200 млн строк соответственно.
В количественном выражении наибольшее число инцидентов затронуло микрофинансовые организации (МФО) – на них пришлось около трети (12) опубликованных утечек. В среднем в ходе каждого подобного инцидента в сеть попадало не менее 10 млн строк данных, а совокупный объем утечек из МФО составил 111 млн строк данных, включая 9 млн строк с адресами электронной почты и 67 млн строк с номерами телефонов граждан.
Антидроп
В 2024 году было выявлено 83 тыс. инцидентов, связанных с нелегальными транзакциями. Solar AURA применяет автоматизированные механизмы, предназначенные для выявления в сети фактов упоминания карт дропов, их классификации и формирования базы данных. Сервис также выявляет идентификаторы мерчантов, номера карт и номера телефонов, используемых для перевода денег через СБП.
Юридические лица
Solar AURA собирает сведения о компаниях, выставленных или выставлявшихся на продажу на черном рынке. В настоящий момент база насчитывает 8 тыс. подобных организаций. Из них 1,5 тыс. были обнаружены в 2024 году – в среднем это четыре компании в день.
Такие компании мошенники приобретают в даркнете для проведения нелегальных операций – фейкового партнерства, обналичивания и отмывания средств и т.д. Опасность таких компаний заключается в том, что при внешней благонадежности, например, отличных финансовых и иных показателях, взаимодействие с ними несет серьезные риски для бизнеса.
Скачать отчет
Самые важные новости кибербезопасности у вас в почте
Выберите темы, на которые бы вам было интересно получать новости.
Для получения бесплатной консультации заполните форму ниже и отправьте заявку. Наш менеджер свяжется с вами в ближайшее время.