Группировка Silence снова атаковала банки - ЦБ
И снова объектами хакерских атак стали российские банки — по сообщению ЦБ, группировка Silence осуществила фишинговые рассылки. Удивление вызывает не только масштаб атаки (в один Сбербанк пришло порядка 1,5 тыс. писем, содержащих вредоносные вложения), но и то, что для рассылки хакеры использовали серверы в России. В настоящее время в Госдуму уже направили законопроект, наделяющий ЦБ правом осуществлять блокировку фишинговых сайтов, что станет более эффективной защитой рынка от кибератак. Но проект требует серьезной доработки, в ходе которых, по мнению экспертов, необходимо учесть опыт последних рассылок.
Silence представляет собой группу русскоговорящих хакеров, активность которых впервые зафиксировали в 2016 году. Основная специализация - целевые атаки на банки посредством рассылки фишинговых писем с вредоносными вложениями.
Последнюю рассылку отличают несколько параметров. Во-первых, это охват. К примеру, за несколько дней до 18-го числа Сбербанк регулярно получал фишинговые письма. По словам представителя банка, средства защиты по состоянию на 18 января зафиксировали и успешно заблокировали 1,5 тыс. писем-вредоносов, относящихся к рассылке Silence. И она продолжается, мы усиленно контролируем то, как развивается эта серия атак.
Также фишинговые рассылки были получены и успешной заблокированы в МосКредБанке, Газпромбанке и Райффайзенбанке, отметивших, что при этом никто не пострадал.
Как уточнили в ЦБ, атака была выше стандартных масштабов, но говорить о «чрезвычайно большом объеме» не приходится.
Во-вторых, в атаке хакеры пользовались качественной социальной инженерией, что несвойственно именно этой кибергруппировке. По словам операционного директора центра мониторинга и реагирования на кибератаки "Ростелеком-Solar" Антона Юдакова, вложения хакеров в инструменты весьма серьезны, а этой группировкой, как правило, мало модифицируется и усложняется "социальный" компонент рассылки, она предпочитает работать с типовыми фишинговыми уловками. Но на этот раз мы удивлены крайне правдоподобным текстом письма, который служит идеальным повторением официального приглашения на профильную конференцию. А усовершенствование социального вектора способствует существенному повышению результативности рассылки.
И третий нюанс - хакеры, проводя атаку, использовали серверы на территории России. В информбюллетене от 16 января ФинЦЕРТ указано, что для этой рассылки они использовали, в частности, домены из зоны .ru (fpbank.ru, bankurs.ru, ccrbank.ru). ЦБ подтвердил, что атака организована с задействованием в числе прочего серверных мощностей с IP-адресами в российской зоне интернета.
Законопроект, наделяющий регулятора правом самостоятельной блокировки подобных фишинговых ресурсов, ускорит реагирование на такие атаки. По новому документу ЦБ сможет самостоятельно подавать в суд иски о блокировке сайтов, сведения на которых могут вызвать в числе прочего и хакерские атаки.
Но чтобы более эффективно бороться с фишинговыми рассылками, законопроект должен быть доработан. По словам руководителя аналитического центра Zecurion Analitics Владимира Ульянова, текущая версия допускает возможность заблокировать опасный ресурс в течение нескольких дней, а при фишинг-рассылке самое большое количество писем-вредоносов открывается в течение первых часов. Эффективная защита требует возможности отреагировать буквально за несколько часов.
Вдобавок, в случае принятия законопроекта, можно было бы позволяет блокировать только сайты с опасной информацией, а фишинговая рассылка не требует создания сайта, достаточно обычной регистрации домена и создания почты. По словам руководителя лаборатории практического анализа защищенности "Инфосистемы Джет" Луки Сафонова, важно наличие возможности блокировки доменов и в таких ситуациях. К тому же, нередко серверы, работающие вполне легально, не уделяют должного внимания такому аспекту, как безопасная настройка почты, и злоумышленники отправляют письма через них, в том числе, используя поддельный адрес отправителя.
