Корзина
5 отзывов
+77182535555
+77084665855
+77084665458

Малый и средний бизнес под прицелом

Малый и средний бизнес под прицелом

Статистика кибер атак за последние время говорит о том что злоумышленники взялись за средний и малый бизнес.

Статистика кибер атак за последние время говорит о том что злоумышленники взялись за средний и малый бизнес. Особый интерес у хакеров вызывают бухгалтера. Их выбор очевиден - рядовой бухгалтер имеет смутное представление о информационной безопасности. При том что каждый день через компьютер бухгалтера "проходят" очень большие деньги. Самым заметным результатом данной тенденции является активация двух троянов: Buhtrap и RTM. Цель данных зловредов одна - кража денег со счетов юридических лиц.

RTM

RTM, как правило, попадает на машины жертв благодаря фишинговым рассылкам, имитирующим деловую переписку («Заявка на возврат», «Копии документов за прошлый месяц» или «Просьба оплатить дебиторскую задолженность»). Заражение происходит после перехода по ссылке или открытия вложения. После этого операторы трояна получают полный контроль над зараженной системой.

За весь 2017 год наши защитные системы зарегистрировали 2376 пользователей, атакованных RTM. В 2018-м количество атакованных выросло до 130 000. А менее чем за два месяца 2019-го мы уже видим более 30 000 целей. Таким образом, можно назвать RTM одним из самых активных на данный момент финансовых троянов. Предположительно, к концу года он побьет свой прошлогодний рекорд.

Большинство целей RTM работают на территории России. Однако никаких гарантий того, что в будущем его создатели не переключатся на остальной мир, нет. Киберпреступность редко соблюдает границы.

 

Buhtrap

Впервые о Buhtrap стало известно в 2014 году, тогда за этим названием скрывалась группировка, похищающая деньги российских кредитных организаций. Суммы, похищенные группой, исчислялись десятками миллионов рублей. В 2016 году исходные коды инструментария злоумышленников попали в открытый доступ, и под Buhtrap стали подразумевать троян.

В новой роли Buhtrap проявил себя в начале 2017 года в финансовой компании TwoBee, где выступал в роли средства доставки. Но наиболее эффектно он «вышел на сцену» в марте 2018 года: зловред распространялся через крупные российские новостные сайты, в главные страницы которых злоумышленники внедрили вредоносный скрипт. В результате на компьютере посетителей выполнялся эксплойт для браузера Internet Explorer.

Спустя несколько месяцев, в июле, злоумышленники сузили «аудиторию» и вместо работы по площадям сконцентрировались на конкретных группах пользователей: бухгалтерах предприятий среднего и малого размера. Для этого они расставили ловушки, создав узкопрофильные сайты бухгалтерской тематики.

Вспомнить об этих троянах нас заставил скачок атак Buhtrap, начавшийся в конце прошлого года и продолжающийся в начале этого. Всего нашими защитными решениями было предотвращено более 5000 атак Buhtrap, а за первые месяцы 2019-го — около 250.

Buhtrap, как и прежде, распространяется через эксплойты, внедренные в новостные сайты. В группе риска пользователи браузера Internet Explorer. Для загрузки вредоносного скрипта с зараженного сайта используется шифрованный протокол, что затрудняет анализ и позволяет обойти детектирование со стороны некоторых защитных решений. Но в целом он до сих пор пользуется уязвимостью, которая была обнаружена еще в прошлом году.

В результате заражения Buhtrap и RTM предоставляют атакующим полный доступ к скомпрометированной рабочей станции. Злоумышленники могут легко изменить реквизиты получателя денег в файлах, предназначенных для обмена данными между бухгалтерскими и банковскими системами. По умолчанию такие файлы имеют стандартные имена и никак не защищены, что дает атакующим возможность изменять их в полностью автоматическом режиме. Оценить реальный ущерб довольно сложно, но по нашим данным, злоумышленники выводят деньги транзацкиями, каждая из которых не превышает одного миллиона рублей.

 

Что делать?

Для защиты от угроз этого типа мы рекомендуем обратить особое внимание на безопасность компьютеров работников финансовых отделов и руководителей, имеющих прямой доступ к финансовым системам. Впрочем, про все остальные машины также забывать не стоит. Вот чуть более практические советы:

  • Необходимо своевременно устанавливать обновления ПО, закрывающие известные уязвимости.
  • По возможности на компьютерах финансистов следует запретить запуск утилит удаленного администрирования, а также установку произвольных программ, не одобренных IT-службой.
  • Имеет смысл повышать осведомленность сотрудников компаний, работающих с финансами. Желательно провести курс по инфобезопасности, с особым фокусом на фишинг.
  • Ну и, разумеется, следует установить защитное решение с модулем поведенческого детектирования. Такое, как Kaspersky Security для бизнеса.
Предыдущие статьи
Наличие документов
Знак Наличие документов означает, что компания загрузила свидетельство о государственной регистрации для подтверждения своего юридического статуса компании или индивидуального предпринимателя.
Контакты
ТОО Склад информационных технологий
КазахстанПавлодарская областьПавлодарул. Генерала Дюсенова, 4
+77182535555
+77084665855
+77084665458
Карта