С 16 по 25 сентября российский центр мониторинга киберугроз (SOC) международного сервис-провайдера Orange Business Services (OBS) зарегистрировал новую волну DDoS-атак на финансовые организации России: банки, их партнеров и страховые. За 10 суток компания детектировала более 75 масштабных инцидентов. Пиковая емкость самого мощного из них составила 45 Гбит/с. Это сопоставимо с рекордной по емкости атакой, отмеченной в отчете ФинЦЕРТ (структурное подразделение Банка России) за 2020 год — 49 Гбит/с.
Ранее OBS уже сообщала о серии мощных атак на российские банки. С 9 августа по 9 сентября специалисты зарегистрировала более 150 атак, то есть примерно по пять в сутки. Следом, с 10 по 15 сентября, наблюдалось затишье. Затем началась волна, которая уже превзошла по частоте августовский пик: в ней случалось примерно по семь-восемь масштабных атак в сутки. Также специалисты компании зафиксировали рост числа атакуемых с 16 по 25 сентября организаций на 10%.
— Киберпреступники не собираются отступать. Они планомерно расширяют список применяемых техник и векторов в надежде найти уязвимость в системах защиты финансовых учреждений, — сказала операционный директор Orange Business Services в России и СНГ Ольга Баранова.
Судя по тому, как последовательно злоумышленники перебирают векторы DDoS и задействуют разные тактики в попытке найти слабые места в защите банков и их партнеров, в OBS не исключают, что большинство детектируемых ими атак могут координироваться одной группой киберпреступников.
За три квартала 2021 года количество DDoS-атак на банки и финансовые организации выросло более чем втрое, отметил руководитель направлений Anti-DDoS и WAF компании «Ростелеком-Солар» Тимур Ибрагимов. При этом пик активности хакеров пришелся на сентябрь, когда было совершено почти 90% всех атак.
Банк России фиксирует в сентябре повышенное количество DDOS атак, сообщил «Известиям» его представитель. Однако, по его словам, большинство из них имеют невысокие технические характеристики и были отражены штатным образом средствами защиты финансовых организаций. Как правило, атаки направлены на сервисы, обслуживающие платежи в электронной коммерции, отметили в регуляторе, добавив, что сентябрьские атаки не повлияли на работоспособность сервисов финансовых организаций.
Уровень DDoS-атак на финансовые организации в России стабильно высокий, отметил замначальника департамента защиты информации «Газпромбанка» Алексей Плешков. Абсолютное количество атак может разниться в зависимости от внешних факторов и масштабных инфоповодов, таких как выборы, PR-акции, появление новых клиентских сервисов.
В ВТБ во второй половине сентября зарегистрировали несколько комбинированных атак на сервисы банка и отметили, что все они были успешно отражены.
В банке «Открытие» рассказали, что количество DDoS-атак на инфраструктуру финансовой организации последние месяцы выросло в сравнении со II кварталом 2021 года. По словам директора департамента информационной безопасности банка Ильи Сулоева, увеличение числа инцидентов может быть связано с появлением нового глобального ботнета, объединяющего в себе множество зараженных объектов Сети, таких как IoT-устройства.
По словам Алексея Плешкова, цель DDOS-атак на банки — нарушение доступности интернет-ориентированных сервисов как для физических, так и для юридических лиц. Тогда клиенты не смогут совершать платежные операции, будут предъявлять претензии банкам.
— При регулярной недоступности банковских сервисов, таких как личный кабинет, платежный сервис, сервис интернет-банка, клиенты могут принять решение о смене банка. И финансовые организации в моменте и в перспективе понесут финансовые потери, — пояснил Алексей Плешков.
Как правило, цель злоумышленников при подобных атаках — прекращение деятельности онлайн-сервисов, после чего системы дистанционного банковского обслуживания становятся неработоспособными, согласились в МКБ, добавив, что банку удается отражать все атаки такого типа.
В компании Bi.Zone считают, что наблюдаемые атаки носили разведывательный характер, поскольку были непродолжительными.
— Злоумышленники не пытались задействовать все имеющиеся у них ресурсы. Скорее всего, это была оценка возможностей каждой организации противостоять DDoS-атакам, — сказал руководитель направления разработки облачных продуктов кибербезопасности Вячеслав Алешин.
Технический директор RuSIEM Антон Фишман добавил, что DDoS-атаки также могут служить прикрытием злоумышленников для проведения более тонких атак.
В ESET отметили, что более тонкие атаки могут быть направлены на получение доступа к платежным или конфиденциальным данным банковских клиентов. Потом их продают в даркнете.
— Иногда хакеры мотивированы возможностью получить выкуп от банка взамен на прекращение массированной DDoS-атаки, — добавил директор по развитию бизнеса ESET Алексей Новиков.
Нередко хакеры проводят DDoS-атаки просто для удовольствия — занимаются так называемым кибервандализмом, заключил эксперт.
Роман Кильдюшкин
Наталья Ильина