ФинЦЕРТ (подразделение ЦБ, отвечающее за кибербезопасность) вновь предупредил участников рынка о рассылке с почтового сервера банка «Юнистрим» писем с вредоносным ПО. Хакеры атаковали банк 19 ноября, по крайней мере, тогда прошла первая рассылка вирусов партнерам «Юнистрима». К работе с инцидентом привлечена Group IB, но повторная рассылка заставила рынок усомниться в качестве расследования и задуматься о необходимости применения мер к банку со стороны ЦБ. В «Юнистрим» же уверяют, что на данный момент все под контролем — повторения не будет.
Партнеры банка «Юнистрим» второй раз за неделю получили с почтовых адресов банка письма, содержащие вредоносное вложение. Как сообщили “Ъ” в «Лаборатории Касперского», атака на банки началась в середине дня 21 ноября, в рассылаемом письме был загрузчик в виде DOC-файла, содержащего вредоносное программное обеспечение. В банках говорят, что в 16:30 они получили бюллетень ФинЦЕРТ (есть в распоряжении “Ъ”), где регулятор предупредил о рассылке с адреса a.burdonskiy@unistream.ru. В бюллетене ФинЦЕРТ отмечал, что указанная рассылка велась с помощью легального почтового адреса КБ «Юнистирим», причем именно с почтового сервера.
Схожее предупреждение ФинЦЕРТ уже направлял банкам 19 ноября, тогда также велась рассылка вредоносного вложения с почтового адреса банка (см. «Ъ-Онлайн» от 20 ноября). Как сообщили “Ъ” в «Лаборатории Касперского», вредонос, содержавшийся в рассылке от 21 ноября, был аналогичен тому, что использовался 19 ноября.
При этом 19 ноября предправления «Юнистрима» Кирилл Пальчун сообщал, что была лишь «попытка несанкционированного доступа к почтовому серверу, которая была своевременно предотвращена».
Господин Пальчун заверил “Ъ”, что инцидент расследует Group-IB — одна из ведущих международных компаний по предотвращению и расследованию киберпреступлений.
У экспертов возникают вопросы к качеству расследования. «Обычно хватает одного дня, при взломе почтового сервера даже меньше,— отмечает заместитель генерального директора Zecurion Александр Ковалев.— Однако необходимо понимать, что при расследовании инцидента могут возникнуть проблемы согласования — например, когда топ-менеджмент заказчика не согласовывает отключение серверов или есть проблемы с выделением дополнительных средств». По мнению директора по маркетингу «Ростелеком-Solar» Валентина Крохина, при работе с инцидентом можно противодействовать каждому действию злоумышленника, но в этом случае хакер видит методы противодействия и может найти другие способы незаметно закрепиться в инфраструктуре. Есть и вторая стратегия, рассуждает он, локализовать все потенциально зараженные машины, выявить способ проникновения в инфраструктуру и т. д., а затем одним ударом очистить организацию от присутствия киберпреступников. В Group-IB от комментариев отказались.
Мнения участников рынка относительно необходимости вмешательства регулятора в ситуацию разделились. Многие специалисты по информационной безопасности банков в беседе с “Ъ” высказали мнение, что необходима «локализация» банка до того, пока он не решит своих проблем. «Если ЦБ видит угрозу для рынка, регулятор может выдать предписание или ввести ограничения на определенные операции»,— рассуждает партнер МКА «Ионцев, Ляховский и партнеры» Игорь Дубов. По мнению заместителя председателя правления банка «Ренессанс-кредит» Сергея Королева, в данной ситуации вмешательство регулятора не требуется и экономические санкции в виде отказа от сотрудничества или его приостановки будут более действенной мерой.
В «Юнистриме» уверяют, что на данный момент проблема решена. «Работы по реагированию на инцидент по информационной безопасности в Юнистрим-банке проводятся уже нескольких дней с участием как внешних провайдеров, специализирующихся на кибербезопасности, так и представителей регулятора (ФинЦЕРТ),— отмечает Кирилл Пальчун.— Все бизнес-процессы банка идут в стандартном режиме». По его словам, банк принял и продолжает принимать меры по усилению кибербезопасности инфраструктуры в целях недопущения подобных ситуаций в дальнейшем. «Подчеркну, что никаких финансовых потерь или технологического ущерба ни "Юнистрим", ни его партнеры не понесли»,— резюмировал он. В пресс-службе Gx2 Group (в нее входит банк) “Ъ” сообщили, что менеджмент «Юнистрима» успешно справляется со своими обязанностями, банк имеет достаточно квалифицированную ИТ-команду из более чем 50 человек, взаимодействующую с многочисленными провайдерами ИТ и компаниями-экспертами в части информационной безопасности.