«Юнистрим» позвонил дважды
ФинЦЕРТ (подразделение ЦБ, отвечающее за кибербезопасность) вновь предупредил участников рынка о рассылке с почтового сервера банка «Юнистрим» писем с вредоносным ПО. Хакеры атаковали банк 19 ноября, по крайней мере, тогда прошла первая рассылка вирусов партнерам «Юнистрима». К работе с инцидентом привлечена Group IB, но повторная рассылка заставила рынок усомниться в качестве расследования и задуматься о необходимости применения мер к банку со стороны ЦБ. В «Юнистрим» же уверяют, что на данный момент все под контролем — повторения не будет.
Партнеры банка «Юнистрим» второй раз за неделю получили с почтовых адресов банка письма, содержащие вредоносное вложение. Как сообщили “Ъ” в «Лаборатории Касперского», атака на банки началась в середине дня 21 ноября, в рассылаемом письме был загрузчик в виде DOC-файла, содержащего вредоносное программное обеспечение. В банках говорят, что в 16:30 они получили бюллетень ФинЦЕРТ (есть в распоряжении “Ъ”), где регулятор предупредил о рассылке с адреса a.burdonskiy@unistream.ru. В бюллетене ФинЦЕРТ отмечал, что указанная рассылка велась с помощью легального почтового адреса КБ «Юнистирим», причем именно с почтового сервера.
Схожее предупреждение ФинЦЕРТ уже направлял банкам 19 ноября, тогда также велась рассылка вредоносного вложения с почтового адреса банка (см. «Ъ-Онлайн» от 20 ноября). Как сообщили “Ъ” в «Лаборатории Касперского», вредонос, содержавшийся в рассылке от 21 ноября, был аналогичен тому, что использовался 19 ноября.
При этом 19 ноября предправления «Юнистрима» Кирилл Пальчун сообщал, что была лишь «попытка несанкционированного доступа к почтовому серверу, которая была своевременно предотвращена».
Господин Пальчун заверил “Ъ”, что инцидент расследует Group-IB — одна из ведущих международных компаний по предотвращению и расследованию киберпреступлений.
У экспертов возникают вопросы к качеству расследования. «Обычно хватает одного дня, при взломе почтового сервера даже меньше,— отмечает заместитель генерального директора Zecurion Александр Ковалев.— Однако необходимо понимать, что при расследовании инцидента могут возникнуть проблемы согласования — например, когда топ-менеджмент заказчика не согласовывает отключение серверов или есть проблемы с выделением дополнительных средств». По мнению директора по маркетингу «Ростелеком-Solar» Валентина Крохина, при работе с инцидентом можно противодействовать каждому действию злоумышленника, но в этом случае хакер видит методы противодействия и может найти другие способы незаметно закрепиться в инфраструктуре. Есть и вторая стратегия, рассуждает он, локализовать все потенциально зараженные машины, выявить способ проникновения в инфраструктуру и т. д., а затем одним ударом очистить организацию от присутствия киберпреступников. В Group-IB от комментариев отказались.
Мнения участников рынка относительно необходимости вмешательства регулятора в ситуацию разделились. Многие специалисты по информационной безопасности банков в беседе с “Ъ” высказали мнение, что необходима «локализация» банка до того, пока он не решит своих проблем. «Если ЦБ видит угрозу для рынка, регулятор может выдать предписание или ввести ограничения на определенные операции»,— рассуждает партнер МКА «Ионцев, Ляховский и партнеры» Игорь Дубов. По мнению заместителя председателя правления банка «Ренессанс-кредит» Сергея Королева, в данной ситуации вмешательство регулятора не требуется и экономические санкции в виде отказа от сотрудничества или его приостановки будут более действенной мерой.
В «Юнистриме» уверяют, что на данный момент проблема решена. «Работы по реагированию на инцидент по информационной безопасности в Юнистрим-банке проводятся уже нескольких дней с участием как внешних провайдеров, специализирующихся на кибербезопасности, так и представителей регулятора (ФинЦЕРТ),— отмечает Кирилл Пальчун.— Все бизнес-процессы банка идут в стандартном режиме». По его словам, банк принял и продолжает принимать меры по усилению кибербезопасности инфраструктуры в целях недопущения подобных ситуаций в дальнейшем. «Подчеркну, что никаких финансовых потерь или технологического ущерба ни "Юнистрим", ни его партнеры не понесли»,— резюмировал он. В пресс-службе Gx2 Group (в нее входит банк) “Ъ” сообщили, что менеджмент «Юнистрима» успешно справляется со своими обязанностями, банк имеет достаточно квалифицированную ИТ-команду из более чем 50 человек, взаимодействующую с многочисленными провайдерами ИТ и компаниями-экспертами в части информационной безопасности.
Партнеры банка «Юнистрим» второй раз за неделю получили с почтовых адресов банка письма, содержащие вредоносное вложение. Как сообщили “Ъ” в «Лаборатории Касперского», атака на банки началась в середине дня 21 ноября, в рассылаемом письме был загрузчик в виде DOC-файла, содержащего вредоносное программное обеспечение. В банках говорят, что в 16:30 они получили бюллетень ФинЦЕРТ (есть в распоряжении “Ъ”), где регулятор предупредил о рассылке с адреса a.burdonskiy@unistream.ru. В бюллетене ФинЦЕРТ отмечал, что указанная рассылка велась с помощью легального почтового адреса КБ «Юнистирим», причем именно с почтового сервера.
Схожее предупреждение ФинЦЕРТ уже направлял банкам 19 ноября, тогда также велась рассылка вредоносного вложения с почтового адреса банка (см. «Ъ-Онлайн» от 20 ноября). Как сообщили “Ъ” в «Лаборатории Касперского», вредонос, содержавшийся в рассылке от 21 ноября, был аналогичен тому, что использовался 19 ноября.
При этом 19 ноября предправления «Юнистрима» Кирилл Пальчун сообщал, что была лишь «попытка несанкционированного доступа к почтовому серверу, которая была своевременно предотвращена».
Господин Пальчун заверил “Ъ”, что инцидент расследует Group-IB — одна из ведущих международных компаний по предотвращению и расследованию киберпреступлений.
У экспертов возникают вопросы к качеству расследования. «Обычно хватает одного дня, при взломе почтового сервера даже меньше,— отмечает заместитель генерального директора Zecurion Александр Ковалев.— Однако необходимо понимать, что при расследовании инцидента могут возникнуть проблемы согласования — например, когда топ-менеджмент заказчика не согласовывает отключение серверов или есть проблемы с выделением дополнительных средств». По мнению директора по маркетингу «Ростелеком-Solar» Валентина Крохина, при работе с инцидентом можно противодействовать каждому действию злоумышленника, но в этом случае хакер видит методы противодействия и может найти другие способы незаметно закрепиться в инфраструктуре. Есть и вторая стратегия, рассуждает он, локализовать все потенциально зараженные машины, выявить способ проникновения в инфраструктуру и т. д., а затем одним ударом очистить организацию от присутствия киберпреступников. В Group-IB от комментариев отказались.
Мнения участников рынка относительно необходимости вмешательства регулятора в ситуацию разделились. Многие специалисты по информационной безопасности банков в беседе с “Ъ” высказали мнение, что необходима «локализация» банка до того, пока он не решит своих проблем. «Если ЦБ видит угрозу для рынка, регулятор может выдать предписание или ввести ограничения на определенные операции»,— рассуждает партнер МКА «Ионцев, Ляховский и партнеры» Игорь Дубов. По мнению заместителя председателя правления банка «Ренессанс-кредит» Сергея Королева, в данной ситуации вмешательство регулятора не требуется и экономические санкции в виде отказа от сотрудничества или его приостановки будут более действенной мерой.
В «Юнистриме» уверяют, что на данный момент проблема решена. «Работы по реагированию на инцидент по информационной безопасности в Юнистрим-банке проводятся уже нескольких дней с участием как внешних провайдеров, специализирующихся на кибербезопасности, так и представителей регулятора (ФинЦЕРТ),— отмечает Кирилл Пальчун.— Все бизнес-процессы банка идут в стандартном режиме». По его словам, банк принял и продолжает принимать меры по усилению кибербезопасности инфраструктуры в целях недопущения подобных ситуаций в дальнейшем. «Подчеркну, что никаких финансовых потерь или технологического ущерба ни "Юнистрим", ни его партнеры не понесли»,— резюмировал он. В пресс-службе Gx2 Group (в нее входит банк) “Ъ” сообщили, что менеджмент «Юнистрима» успешно справляется со своими обязанностями, банк имеет достаточно квалифицированную ИТ-команду из более чем 50 человек, взаимодействующую с многочисленными провайдерами ИТ и компаниями-экспертами в части информационной безопасности.
Читайте также
Опрос ВТБ: переводы по СБП используют уже 70% жителей ПФО
Услугами переводов самому себе в разные банки через СБП уже пользуются 68% жителей округа
Банк Уралсиб вошел в Топ-3 самых выгодных банков для открытия вклада
Банк Уралсиб занял 2 место в рейтинге самых выгодных банков для открытия вклада в апреле 2024 года
Выгодная тройка: самые доходные рублевые вклады на 12 месяцев, апрель 2024
Рассмотрим прибыльные вклады на 1 год ровно суммой в 1 миллион рублей с условием оформления в отделениях банков Казани
Солид Банк объявил режим работы офисов в майские праздники
Солид Банк сообщил об изменении в режимах работы офисов банка в связи с грядущими майскими праздниками
ВТБ в апреле увеличит число активных розничных клиентов до 20 миллионов человек
Число активных розничных клиентов ВТБ с начала года увеличилось на 700 тысяч и по итогам апреля превысит 20 млн человек
Международная QIWI хранила в лишившемся лицензии Киви-банке 2,3 млрд рублей
Теперь группа «работает», чтобы вернуть эти деньги
Аналитики спрогнозировали, какое решение по ставке озвучит ЦБ
На заседании по ключевой ставке, которое пройдет 26 апреля, Банк России вновь сохранит показатель на уровне 16%
Россияне, получившие ВНЖ за рубежом, все еще испытывают трудности с расчетами
Банки стараются избегать «российского следа»
На «Госуслугах» появятся электронные студенческие билеты и зачетки
На портале «Госуслуги» появятся электронные студенческие билеты и зачетные книжки
Ставку по семейной ипотеке могут поднять вдвое в зависимости от возраста детей
Ставка по семейной ипотеке для семей с детьми старше шести лет может быть повышена до 12%