Experti z SOC zabránili škodám pro České finanční instituce
Naše Cyber Defense Center úspěšně eliminovalo phishingové útoky hackerských skupin Cobalt Group a TA505 na finanční ústavy v České republice.
Zveřejněno dne: 27. 01. 2020
Našemu Security Operation Centru se koncem uplynulého roku podařilo odhalit a zastavit několik sofistikovaně provedených útoků, jejichž cílem bylo získat přístup k účtům napadených tuzemských finančních institucí a vyvést z nich finanční prostředky.
Specializované centrum kybernetické ochrany poskytuje už déle než půl roku komplexní, efektivní, a přitom dostupné služby velkým, ale i středním a malým firmám formou outsourcingu.
Zprávy o útocích včetně podrobných indikátorů kompromitace (IOC) centrum následně poskytlo jak svým klientům a zákazníkům Aricomy, tak i dalším firmám. „Tyto služby běžně nabízíme výhradně svým klientům. Důvodem pro výjimku je, že útok hackerů ze skupin Cobalt Group, respektive TA505 může být pro nechráněné společnosti fatální,“ uvedl šéf CDC Tomáš Filip.
Zástupci firem kvitovali rozhodnutí a ochotu CDC podělit se o získaná data s velkým povděkem a ocenili jak pohotovost a kvalitu práce expertů centra, tak vysokou informativní hodnotu poskytnutých reportů.
„V případě hackerské skupiny Cobalt Group probíhal útok prostřednictvím zneužití účtu zdejšího telefonního operátora. Tyto účty byly použity k distribuci věrohodně působících zpráv urgujících platbu fiktivní faktury, po jejímž otevření byl útočník schopen získat kontrolu nad napadeným počítačem a dále se šířit v jeho síti,“ konstatoval Tomáš Filip
Zprávy o útocích včetně podrobných indikátorů kompromitace (IOC) centrum následně poskytlo jak svým klientům a zákazníkům Aricomy, tak i dalším firmám. „Tyto služby běžně nabízíme výhradně svým klientům. Důvodem pro výjimku je, že útok hackerů ze skupin Cobalt Group, respektive TA505 může být pro nechráněné společnosti fatální,“ uvedl šéf CDC Tomáš Filip.
Zástupci firem kvitovali rozhodnutí a ochotu CDC podělit se o získaná data s velkým povděkem a ocenili jak pohotovost a kvalitu práce expertů centra, tak vysokou informativní hodnotu poskytnutých reportů.
„V případě hackerské skupiny Cobalt Group probíhal útok prostřednictvím zneužití účtu zdejšího telefonního operátora. Tyto účty byly použity k distribuci věrohodně působících zpráv urgujících platbu fiktivní faktury, po jejímž otevření byl útočník schopen získat kontrolu nad napadeným počítačem a dále se šířit v jeho síti,“ konstatoval Tomáš Filip
Napadená instituce se snažila problém vyřešit vlastními silami, ale dostávala se do stále svízelnější situace. V kritické chvíli požádala o pomoc SOC. Rozkrytí útoku a identifikace útočníka trvaly přivolanému expertovi centra necelé dvě hodiny. Po implementaci vhodného nástroje pak lidé z SOC převzali aktivitu, začali kontrolovat jednotlivé kroky útočníka a nakonec jeho snahy eliminovali.
Podle Tomáše Filipa je množství a intenzita aktuálně zachycených útoků špatnou zprávou pro tuzemské firmy: „Incidenty se řádově množí, je zřejmé, že už i Česká republika a firmy, které tu působí, jsou pro tyto skupiny mimořádně zajímavým a zcela regulérním cílem. A to ještě donedávna nebývalo.“
Problém podle něj je, že zatímco závažnost a rostoucí počet kybernetických útoků zásadním způsobem proměňují prostředí v České republice, společnosti se i nadále snaží čelit nebezpečí vlastními omezenými silami.
„Firmám se už dnes jednoznačně vyplatí prevence v podobě aktivního expertního dohledu. Jistota, že útok bude odražen hned v začátku, je tak největší,“ upozornil Tomáš Filip s tím, že právě takový byl scénář v případě napadení klienta hackerskou skupinou TA505, a dodal. „Pokud ale budete spoléhat na to, že v okamžiku krajní nouze seženete na trhu špičkového experta, který se vám bude okamžitě věnovat, velice tím riskujete, že se vám to nepodaří, nebo to bude trvat déle, než si můžete v kritické chvíli dovolit.“
Podle Tomáše Filipa je množství a intenzita aktuálně zachycených útoků špatnou zprávou pro tuzemské firmy: „Incidenty se řádově množí, je zřejmé, že už i Česká republika a firmy, které tu působí, jsou pro tyto skupiny mimořádně zajímavým a zcela regulérním cílem. A to ještě donedávna nebývalo.“
Problém podle něj je, že zatímco závažnost a rostoucí počet kybernetických útoků zásadním způsobem proměňují prostředí v České republice, společnosti se i nadále snaží čelit nebezpečí vlastními omezenými silami.
„Firmám se už dnes jednoznačně vyplatí prevence v podobě aktivního expertního dohledu. Jistota, že útok bude odražen hned v začátku, je tak největší,“ upozornil Tomáš Filip s tím, že právě takový byl scénář v případě napadení klienta hackerskou skupinou TA505, a dodal. „Pokud ale budete spoléhat na to, že v okamžiku krajní nouze seženete na trhu špičkového experta, který se vám bude okamžitě věnovat, velice tím riskujete, že se vám to nepodaří, nebo to bude trvat déle, než si můžete v kritické chvíli dovolit.“
NEVÁHEJTE, KONTAKTUJTE NÁS.
Máte zájem o další informace nebo o nabídku pro vaši konkrétní situaci?
-
Zvýšili jsme bezpečnost a efektivitu IT infrastruktury ve společnosti SATUM
-
Aricoma CSIRT tým má akreditaci Trusted Introducer
-
Zachytili jsme novou plošnou phishing-malware kampaň
-
Ponaučení z jednoho předvánočního pokusu o podvod
-
Preventivní doporučení týkající se bezpečnostních hrozeb
-
Kritická zranitelnost Log4j a hrozba její exploitace
-
Útok na SolarWinds
-
Robustní víceúrovňová ochrana uživatelů a dat Vojenské nemocnice Olomouc
-
Jurský park
-
Budování komplexní bezpečnosti ve firmách zbrojařské skupiny Colt CZ
-
Umělá inteligence
-
Opět jsem se stal milionářem
-
Jak se bránit phishingu?
-
Hacknutý Facebook
-
Naše vyjádření k Meltdown a Spectre zranitelnostem
-
Zabezpečení a optimalizace provozu výrobní sítě v Dormer Pramet Šumperk
-
Povyšte kybernetickou bezpečnost a zjednodušte si správu IT prostředí s inovativním přístupem Cisco
-
Přehledně o Dell storage: Od základních úložišť po pokročilé deduplikační systémy
-
Spojení Dell Technologie a AMD dává dnes v podnikových datacentrech velký smysl
-
Křehkost IT systémů a nebezpečí jediné chyby
-
Bezpečná a moderní síťová infrastruktura pro Povodí Labe
-
Umělá inteligence jako zbraň v rukou útočníků. Naučme se je odhalit.
BUĎTE U TOHO
Přihlaste se k odběru našich newsletterů, ať vám nic podstatného neuteče.