По данным Group-IB, на банки в прошлом году пришлось порядка 70% хакерской активности. При этом 74% атакованных банков оказались не готовы к кибератакам, у 29% были обнаружены активные заражения вредоносными программами, а в 52% случаев выявлены следы совершения атак в прошлом.
Эксперты также пришли к выводу, что более 60% атакованных банков не могут централизованно управлять свой сетью, особенно, в территориально распределенной инфраструктуре, около 80% не имеют достаточной глубины журналирования событий протяженностью более месяца, более 65% тратили на согласование работ между подразделениями более 4 часов. Среднее количество часов, потраченных на совещания, согласования доступов, регламентные работы в рамках одного реагирования при наступлении инцидента составляло 12 часов.
Кроме несогласованности в работе внутренних подразделений и слабой проработки организационных процедур, необходимых для установления источника заражения, масштаба компрометации и локализации инцидента, в Group-IB выявили и слабую техническую подготовку персонала банков. Так профильные навыки по поиску следов заражения и несанкционированной активности в сети отсутствуют или недостаточны у персонала 70% организаций. Более 60% пострадавших банков не могут в сжатые сроки провести централизованную единоразовую смену всех паролей, что позволяет хакерам атаковать новые цели изнутри взломанной инфраструктуры банка.
В отчете также говорится, что схемы для обналичивания денежных средств хакерами остались прежними: через заранее открытые "под обнал" банковские карты, счета юридических фирм-однодневок, платежные системы, банкоматы и SIM-карты. Однако скорость обналичивания похищенных средств в России выросла в несколько раз: если три года назад вывод суммы в 200 млн рублей занимал около 25-30 часов, то в 2018-м году в Group-IB зафиксировали случай, когда такая же сумма была обналичена менее чем за 15 минут. Деньги выводились одновременно в разных городах России.
Наконец, в 2018 году командой реагирования Group-IB были зафиксированы случаи, когда киберинцидент приводил к созданию резко негативного фона вокруг банка, что провоцировало информационную атаку, репутационные потери, а в отдельных случаях и уход с рынка.
"Вокруг банка намеренно или уже по факту создается негативный фон: оценки потенциального ущерба, недопустимо низкий уровень защиты, вероятный отзыв лицензии... Это приводит к оттоку клиентов и партнеров, банк сталкивается с недостаточной капитализацией. Использование кибератаки как инструмента нанесения урона репутации и вытеснения конкурента с рынка – еще один опасный вектор, который потенциально может получить дальнейшее развитие, так как уровень кибербезопасности небольших банков по-прежнему остается крайне низким", – отметил руководитель лаборатории компьютерной криминалистики компании Group-IB Валерий Баулин.
Напомним, в декабре прошлого года в Group-IB зафиксировали массовую вредоносную рассылку по финансовым учреждениям и предприятиям. Всего хакеры отправили свыше 11 тыс. писем с 2 900 различных электронных адресов, подделанных под адреса госучреждений.