ЦБ предупредил банки о возможной кибератаке вируса-шифровальщика

Два предыдущих вируса WannaCry и Petya уже пытались атаковать банки
За последние три месяца по миру прокатились уже две волны атак вирусов-шифровальщиков
За последние три месяца по миру прокатились уже две волны атак вирусов-шифровальщиков / Евгений Разумный / Ведомости

Вчера FinCERT (структура ЦБ, занимающаяся кибербезопасностью) предупредила российские банки о «возможно готовящейся» атаке на них вирусов-шифровальщиков. «Ведомости» ознакомились с копией письма, представитель ЦБ подтвердил, что FinCERT его действительно отправляла. Информацию об атаке эксперты получили из разных источников, говорит представитель ЦБ, но каких – не уточняет.

За последние три месяца по миру прокатились уже две волны атак вирусов-шифровальщиков: 12 мая появился вирус WannaCry, а 27 июня – вирус Petya. Они проникали на компьютеры с операционной системой Windows, где не были установлены обновления, шифровали содержимое жестких дисков и требовали $300 за расшифровку. Первая атака затронула сотни тысяч компьютеров более чем в 150 странах, вторая – свыше 10 000 компьютеров в 65 странах. Жертвами этих атак стали, в частности, российские «Мегафон» и «Роснефть». Но большими доходами эти вирусы похвастаться не могут: первый заработал около $143 000, второй – $14 000.

ЦБ предложил банкам перечень мер безопасности. Им стоит убедиться, что обновлены общесистемный и специальный софты, а также установлены и обновлены антивирусы. Банкам советуют сегментировать свои сети и проверить настройки межсетевых экранов, чтобы те блокировали соединения с нерегламентированными сетевыми адресами. ЦБ также рекомендует сотрудникам банков обращать внимание на подозрительные почтовые сообщения и не посещать сомнительные интернет-сайты. Кроме того, регулятор советует не забывать о резервном копировании критичных информационных систем и баз данных. Рекомендации ЦБ директор по информационной безопасности банка «Открытие» Вячеслав Касимов и представитель Альфа-банка называют повседневными и говорят, что уже давно их применяют.

Во вторник о возможной кибератаке шифровальщика предупреждала директоров своих филиалов энергокомпания ФСК ЕЭС (Федеральная сетевая компания ЕЭС, управляет общероссийской электрической сетью). Компания просила директоров ограничить доступ пользователей корпоративной сети к интернету с 4 по 14 августа, а также предупредить сотрудников, чтобы они не открывали вложения от неизвестных отправителей и не переходили по посторонним ссылкам в электронной почте. Это превентивная мера, часть обычной практики по обеспечению безопасной работы пользователей корпоративной сети, говорил представитель компании.

Цифровые потери

По данным AIG, средняя стоимость одного инцидента с хищением данных в мире не превышает $4 млн. В финансовом секторе эта цифра доходит до $14 млн, в энергетике – около $10 млн. На российском рынке эти цифры отличаются не сильно: по данным Group IB, максимальная сумма хищения хакерами у российского банка в 2016 г. составила 600 млн руб. ($9 млн). При этом в другом крупном банке была предотвращена попытка хищения 1 млрд руб. ($16 млн). Но основные убытки пострадавшие от взломов и утечек компании несут по двум направлениям: перерывы в работе (а если это, например, авиакомпания, то убытки могут исчисляться миллионами долларов) и компенсации пострадавшим клиентам.

Центр мониторинга и реагирования на кибератаки в финансовой сфере ЦБ открыл 1 июня 2015 г. Цель FinCERT – наладить обмен информацией о кибератаках между ЦБ, банками и правоохранительными органами, чтобы координировать борьбу со злоумышленниками. С марта по август организация уже шесть раз предупреждала банки о шифровальщиках, говорит представитель ЦБ. Про WannaCry она рассказывала банкам еще в апреле. Она разъясняла, как выявлять рассылаемый по почте вирус и как с ним бороться. Эксперты предупреждали, что нужно установить пакет обновлений безопасности для Windows-систем. И все же 12 мая FinCERT зафиксировала атаку WannaCry на банки, после чего повторила свое предупреждение. Названий пострадавших банков она не раскрыла. Известно, что вирус пытался атаковать Сбербанк, но проникновения не произошло. Также вирус атаковал Росевробанк, но смог проникнуть только в один из серверов. Банк выявил заражение.

А вот от июньского вируса Petya российский банковский сектор все же пострадал. «В результате атак зафиксированы единичные случаи заражения», – писала FinCERT. Среди известных жертв – «Хоум кредит банк» (ХКФ). Вечером 27 июня он не проводил операции, примерно с 16.45 мск не работал сайт банка. Представитель ХКФ подчеркивал, что банк заметил признаки нестабильности и решил провести проверку всех систем безопасности. Данные о клиентах и операциях не пострадали, уверял представитель ХКФ.

Подозрительных событий пока не видят ни Касимов из «Открытия», ни собеседник в крупном российском банке, ни представитель Альфа-банка. По словам последнего, письмо не содержит каких-либо индикаторов, по которым можно было бы судить о подготовке атаки именно против Альфа-банка. Атак не замечал и центр мониторинга киберугроз Solar JSOC, говорит его аналитик Алексей Павлов. Он, однако, отмечает, что в течение последних нескольких дней организации различных отраслей (и банки в том числе) получали предупреждения о возможной активности шифровальщиков. Но вот число вирусных заражений (не только шифровальщиками) за последнее время превысило норму вдвое, отмечает Павлов. Данных о новой атаке нет и в «Лаборатории Касперского», говорит руководитель группы исследования и анализа мошенничества Денис Горчаков. Он предполагает, что письмо FinCERT связано с предупреждением об угрозе в энергетическом секторе.

За последние три месяца по миру прокатились уже две волны атак вирусов-шифровальщиков