Атака на банк в Латинской Америке

Как Threat intelligence помогает предотвращать кибератаки на крупные компании.

Многие компании под «данными о киберугрозах» понимают исключительно индикаторы компрометации и данные по конкретным инструментам киберпреступников. Но на самом деле Threat Intelligence подразумевает гораздо более глубокое изучение киберпреступников, включая отслеживание активности группировок в сети. Иногда эти методы позволяют не просто составить представление о методах и тактиках, но и предотвратить конкретное киберпреступление. Характерный пример — недавний случай с центральным банком одной латиноамериканской страны.

Краткое описание атаки на банк

В ходе изучения активности киберпреступников нашим экспертам стало известно, что одной из группировок удалось получить доступ к сети банка. Исследователи незамедлительно уведомили жертву, а также связались с Интерполом и совместными усилиями провели тщательное расследование инцидента. В результате им удалось ликвидировать уязвимости в корпоративной инфраструктуре и предотвратить реальный ущерб.

К сожалению, мы не можем поделиться подробными деталями инцидента и описать методы проникновения злоумышленников в сеть банка.

Как нашим экспертам удалось выявить активность злоумышленников

Далеко не все киберпреступники реализуют полный цикл атаки — от разведки до получения прибыли. Есть команды, специализирующиеся исключительно на получении доступа к инфраструктуре компаний: успешно проникнув в сеть, они пытаются продать доступ где-нибудь в даркнете или на хакерских форумах тем, кто сможет организовать атаку. Более того, есть так называемые брокеры первоначального доступа (Initial Access Brokers), которые скупают доступы, а затем перепродают их другим киберпреступникам. Чаще всего речь идет о заражении шифровальщиком, но в случае с банком вероятно и применение финансовых вредоносов, специализирующихся на мошеннических транзакциях.

Во время изучения деятельности совершенно иных преступников наши исследователи как раз и обнаружили попытку неизвестных найти партнеров для атаки на банк с целью мошеннического вывода средств. В качестве подтверждения доступа в инфраструктуру банка они поделились информацией, благодаря которой эксперты смогли идентифицировать жертву и предотвратить преступление.

Как Threat Intelligence может помочь конкретной компании избежать атаки?

В данном случае эксперты не искали признаки атаки на конкретный банк. Он даже не был нашим клиентом. Однако наши инструменты позволяют специально отслеживать угрозы для конкретной организации. В нашем портфеле Threat Intelligence имеется сервис Digital Footprint Intelligence, который позволяет составить динамический «цифровой портрет» организации, а затем — отслеживать опасные симптомы по открытым источникам, в даркнете и дипвебе, а также в наших внутренних базах знаний. Иногда это позволяет предотвратить достаточно серьезные киберинциденты.

Кроме того, для защиты от сложных атак мы рекомендуем использовать сервисы типа Managed Detection and Response, в рамках которых внешние эксперты помогают обнаруживать и останавливать сложные атаки на инфраструктуру компаний на ранних этапах.

Советы