Хакерская киберразведка, уязвимости и вредоносы – как киберпреступники атаковали банки в 2024 году

Количество кибератак на финансовый сектор за год выросло на треть и достигло 9 тыс. подтвержденных инцидентов. Наибольшую угрозу для отрасли представляют попытки сканирования внутренней сети в целях киберразведки, эксплуатация уязвимостей и заражение вредоносным ПО. К такому выводу пришли эксперты центра противодействия кибератакам Solar JSOC ГК «Солар», проанализировав данные сервиса мониторинга за 2024 год.

С сетевыми атаками было cвязано 27% подтвержденных инцидентов, при том, что год назад их доля составляла 14%. Большинство подобных инцидентов касалось несанкционированного внутреннего сетевого сканирования, то есть изучения злоумышленниками внутренней сети жертвы: веб-приложений, систем и устройств. Факты сетевых атак говорят о том, что хакеры уже преодолели внешний периметр организации и пытаются развить атаку внутри, предварительно проведя киберразведку.

Доля эксплуатации уязвимостей, напротив, сократилась: с 36% до 27%. Уязвимости используются хакерами на всех этапах развития атаки: при попытках взлома, при горизонтальном продвижении по сети и повышении привилегий на хосте, при попытках компрометации систем банка внутри инфраструктуры. И налаженный процесс управления уязвимостями остается основой построения безопасной инфраструктуры.

Заражение вредоносным ПО замыкает топ инцидентов: доля за год выросла с 8% до 14%. Несмотря на то, что финансовый сектор более устойчив к подобным угрозам, чем другие отрасли, вирусы все равно могут нанести серьезный ущерб организациям.

По данным с сети сенсоров и ханипотов центра исследования киберугроз Solar 4RAYS, среди всех компаний, у которых есть признаки заражения ВПО, банки занимают всего 4%. Наибольшую угрозу для отрасли представляют инструменты удаленного доступа – Remote Administration Tools (RAT). На них приходится 37% всех заражений. В зависимости от функциональности такие вредоносы позволяют хакерам дистанционно управлять атакованной системой (менять и выгружать данные, делать скриншоты, менять настройки оборудования и т.п.).

Еще 19% инцидентов связано с атакой вирусов-стиллеров. Это ВПО, которое в автоматизированном режиме собирает информацию с зараженной инфраструктуры. А 15 % - с активностью APT-группировок. Как правило, это факты обращения к серверам управления (С2) из зараженной инфраструктуры. Как видно, наибольшую угрозу для отрасли представляют вирусы и вредоносы, которые нацелены на получение доступа к системам, содержащим конфиденциальную информацию, и ее хищение.

«В финсекторе уровень защиты от базовых угроз выше, чем в других отраслях. Поэтому инциденты с применением ВПО здесь находятся на 3 месте, в то время как в остальных отраслях это топ-1 среди угроз. Однако банки интересны злоумышленникам с высокой квалификацией, которые реализуют сложные целевые атаки. Рост внутренних сканирований как раз говорит о том, что хакеры тщательно готовятся к таким киберударам, стараются изучить инфраструктуру жертвы, чтобы спланировать свои дальнейшие шаги. Именно поэтому вовремя выявленная сетевая атака поможет не допустить фатальных последствий для компании, – отметил директор центра противодействия кибератак Solar JSOC Владимир Дрюков. – А полноценный мониторинг инфраструктуры с использованием специальных сенсоров (NTA, EDR и проч.), регулярное обучение сотрудников киберграмотности, выстроенный процесс патч-менеджмента в совокупности помогут снизить киберриски для отрасли».

Существенно снизить риски сетевых атак позволяет правильно организованная сегментация сети за счет настройки политик безопасности, а также правил доступа к внешним ресурсам и использованию приложений. Организовать комплексную защиту корпоративных сетей и хранящихся в них данных от сетевых угроз помогают решения для сетевой безопасности, в частности NGFW (Next Generation Firewall) и SWG (Secure Web Gateway). Так, Solar NGFW обеспечивает многоуровневую защиту на сетевом периметре и между внутренними сегментами сети организации, а Solar webProxy ограничивает доступ пользователя к недоверенным ресурсам и имеет на борту интегрированный антивирус для защиты от ВПО. В свою очередь решения по управлению доступом позволяют снизить риск того, что хакеры смогут воспользоваться скомпрометированными учетными данными сотрудников и подрядчиков, имеющих доступ к IT-инфраструктуре компании.