Según una nueva investigación realizada por expertos del Grupo-IB el 74 por ciento de los bancos rusos no estaban listos para ataques cibernéticos
Group-IB, una empresa internacional que se especializa en prevenirAtaques ciberneticos, ha realizado una investigación de cibercrimen de alta tecnología basada en un análisis de las respuestas a incidentes de seguridad de la información llevada a cabo por el equipo de respuesta a incidentes del Grupo IB en 2018. Segúnel nuevoInvestigación, los hackers tradicionalmente apuntan al sector financiero. Aun así, el 74 por ciento de los bancos rusos no estaban listos paraAtaques ciberneticos, Se encontró que el 29 por ciento estaba infectado activamente con malware, y en el 52 por ciento decasosSe detectaron rastros de ataques pasados. Según los expertos, una de las tendencias más peligrosas del año pasado son los ciberataques transfronterizos de efecto dominó, en los que la infraestructura infectada de un banco comprometido se utiliza para propagar la infección a otros bancos. En 2018, el equipo de respuesta a incidentes del Grupo-IB detectó el uso de dicho vector en Rusia y Europa del Este.
El número total de respuestas a incidentes del Grupo-IB se ha más que duplicado en comparación con 2017. Encabezando la lista de las principales amenazas que enfrentan las empresas comprometidas se encuentran los ataques dirigidos, el espionaje competitivo, los ataques de ransomware y el criptominio . La principal conclusión del laboratorio forense digital del Grupo-IB es que la gran mayoría de las compañías rusas afectadas por ataques de piratas informáticos el año pasado no tenían un plan de respuesta a incidentes y, por lo tanto, no estaban listas para movilizar rápidamente sus departamentos de seguridad de la información, cuyo personal a su vez A menudo incapaz de resistir a los atacantes. Los expertos del Grupo-IB resaltan la alta probabilidad de incidentes repetidos en tales compañías.
Según el estudio de respuesta a incidentes, los bancos fueron el objetivo de aproximadamente el 70% de la actividad de piratas informáticos el año pasado. Los piratas informáticos siguen utilizando los mismos esquemas de cobro que solían hacer: los fondos robados se retiran utilizando tarjetas de pago pre-abiertas en un banco específico. , cuentas ficticias de bufetes de abogados, sistemas de pago, cajeros automáticos y tarjetas SIM.
Al mismo tiempo, el volumen de cobro en Rusia se ha incrementado varias veces: un retiro de 3 millones de dólares tomó un promedio de aproximadamente 25-30 horas hace 3 años, pero en 2018 hubo incidentes en los que la misma cantidad fue exitosa retirado en menos de 15 minutos a la vez en diferentes ciudades rusas.
El análisis de los datos obtenidos por el Grupo-IB durante las respuestas a incidentes reveló que el 74 por ciento de los bancos rusos atacados en 2018 no estaban listos para ataques cibernéticos. Al mismo tiempo, más del 60 por ciento. de ellos resultó que no podían administrar centralmente sus redes (especialmente en el caso de infraestructura distribuida geográficamente).
En más del 80 por ciento de las organizaciones financieras afectadas por la actividad de piratería, no se observó un nivel suficiente de registro de eventos durante un período más largo (más de un mes). La cooperación insuficiente entre departamentos internos es un factor adicional que juega en las manos de los atacantes: más del 65 por ciento de las organizaciones financieras, donde trabajaba el equipo de IR del Grupo-IB, dedicaron más de 4 horas a la coordinación del trabajo entre departamentos. Mientras tanto, se dedicó un promedio de 12 horas a reuniones, otorgando acceso y trabajo de rutina como parte de la respuesta a un incidente.
La investigación del grupo IB no solo reveló bajo nivel de elaboración de procedimientos organizativos para establecer la fuente de una infección, determinando el alcance del compromiso y la localización del incidente, pero también las habilidades técnicas insuficientes del personal de los bancos. Según los investigadores del Grupo IB, el 70 por ciento de los bancos rusos no tienen suficientes habilidades especializadas para detectar rastros de infección y actividad de red no autorizada. El mismo porcentaje carece de procedimientos bien definidos para la autodetección de compromisos de hardware y software. Los riesgos técnicos se deben a la falta de preparación de los técnicos para reaccionar rápidamente ante incidentes cibernéticos: según el Grupo IB, más del 60 por ciento de los bancos no pueden realizar un cambio centralizado de una sola vez de todas las contraseñas en poco tiempo, lo que permite hackers para atacar nuevos objetivos desde dentro de la infraestructura comprometida del banco.
"Un banco con infraestructura comprometida no solo puede perder dinero, sino también convertirse en una amenaza para otros jugadores en el mercado financiero", comenta Valery Baulin.Jefe de Laboratorio Forense Digital de Grupo-IB. “Un grupo de piratas informáticos motivado financieramente siempre busca maximizar las ganancias: al tomar el control de los sistemas de un banco, no solo se trata de retirar dinero de un banco comprometido, sino también de infectar a la mayor cantidad posible de víctimas.
Para este propósito, los piratas informáticos utilizan "un efecto dominó": envían correos electrónicos de phishing maliciosos desde la infraestructura comprometida utilizando la base de datos de las compañías asociadas del banco. Este vector de ataque es peligroso, en primer lugar, porque estos correos electrónicos se envían desde un banco legítimo y el remitente no es falso, lo que aumenta la probabilidad de abrir el archivo adjunto malicioso. Por lo tanto, se inicia una reacción en cadena, y esto puede llevar a múltiples infecciones de las instituciones financieras. En 2018, detectamos el uso de este vector tanto en Rusia como en Europa del Este ".
Según el Grupo-IB, al menos el 17 por ciento de las compañías, donde se llevó a cabo la respuesta a incidentes, fueron atacadas a través de vulnerabilidades que no habían sido abordadas previamente en el transcurso de un año después de la última infección. En la gran mayoría de los casos, esto se debió a un incumplimiento de las recomendaciones, así como a la negligencia de los empleados del banco. Además, durante 2018, los expertos del Grupo-IB detectaron infecciones activas en el 29 por ciento de las organizaciones del sector financiero, desconocidas para el servicio interno de seguridad de la información. En el 52 por ciento de los casos, se encontraron rastros de ataques pasados.
En 2018, el equipo de respuesta a incidentes del Grupo-IB registró casos en los que se organizaron ciberataques para crear una imagen negativa de un banco, lo que provocó daños a la reputación y, en algunos casos, la salida del mercado del banco. “Se crea una imagen muy negativa en el banco: pueden aparecer estimaciones de daños potenciales, junto con información negativa sobre el nivel de protección del banco. Los medios lanzan la posible revocación de su licencia bancaria. Hay una salida de clientes y socios, y el banco enfrenta una capitalización insuficiente. El uso del ciberataque como una herramienta para dañar la reputación del banco e incluso para sacar a un competidor del mercado es otro vector peligroso, que puede volverse aún más popular, ya que el nivel de seguridad cibernética de bancos más pequeños es extremadamente bajo ", dice Valery Baulin.
Fecha actualización el 2021-02-19. Fecha publicación el 2019-02-19. Categoría: rusos Autor: Oscar olg Mapa del sitio Fuente: securityaffairs