ISACA Kyiv ChapterВчера в 10:33 · .

ISACA Kyiv Chapter

Вчера в 10:33 ·
..

Попередження: банки під загрозою

Нещодавно представники Київського Відділення Ісака були залучені до розслідування, стримування та вичистки інциденту, пов’язаного з крадіжкою значної суми з українського банку через систему SWIFT.

Після ретельного вивчення інциденту, ми вважаємо за необхідне попередити банківське товариство про наступне:
• Міжнародні злочинні угруповання Carbanak/Akunak та Buhtrap створили та розмістили у відкритому доступі набір інструментів для проникнення в банки та інші фінансові установи
• Нажаль, традиційні засоби захисту – міжмережеві екрани та антивіруси – недостатні для ефективної протидії
• Після проникнення в банк, хакери кілька місяців вивчають його роботу та внутрішні процеси
• Після ретельного вивчення роботи банку, зловмисники використовують повноваження легітимних користувачів для створення платежів через міжнародну міжбанківську систему платежів SWIFT та систему електронних платежів СЕП, і також атакують банкомати та картковий процесинг.
• На даний момент скомпрометовано десятки банків (в основному в Україні та в Росії), з яких вкрадено сотні мільйонів доларів

Ми вважаємо, що зловмисники проникли в більшість українських банків, і в даний момент проводять вивчення бізнес-процесів та готуються до проведення шахрайських операцій.

Типовий алгоритм дій зловмисників
1. Встановлення на ПК співробітника банку злочинного ПЗ через інфікований лист або посилання. Традиційні антивірусні програми можуть бути недієвими, якщо злочинне ПЗ було щойно скомпільоване (атака класу APT або ZERO-DAY), запаковане/закриптоване спеціальною програмою-пакером тощо
2. Злочинне ПЗ ініціює підключення до контрольного центру з ПК користувача. Оскільки підключення ініціюється зсередини банку, більшість банків не блокують такі підключення
3. Далі з комп’ютера користувача проводиться вивчення внутрішньої інфраструктури банку, та проводяться атаки на інші ПК та сервери
4. За допомогою спеціалізованих засобів, таких як Mimikatz, перехоплюються паролі адміністраторів домену та захоплюється контроль всіх ПК, підключених в домен
5. Злочинці досліджують роботу банку та виявляють найбільш цінні робочі місця і сервери. На них встановлюються програми, які перехоплюють та передають зловмисникам копії екрану. Цей процес триває кілька місяців
6. Зловмисники очікують оптимального часу для атаки (наприклад, коли на кореспондентських рахунках найбільше грошей) та виводять кошти, використовуючи легітимні облікові записи користувачів банку, і виконують зачистку своїх слідів

Що робити? Нижче ми надаємо невичерпний перелік кроків, які необхідно запровадити
• Організаційна підготовка. Створити плани реагування на інциденти, пов’язані з платіжними системами (відповідальні; кризова команда; комунікації – внутрішні, з платіжними системами та контрагентами; відключення, та ін.)Провести аудит безпеки та розробити і впровадити план швидких змін, а також архітектуру і програму забезпечення безпеки
• Моніторинг та аналіз інцидентів та подій безпеки. Запровадити повноцінний процес моніторингу подій безпеки та аналізу ризиків. Запровадити інструменти для виявлення вторгнень, консолідації та кореляції подій з усіх систем. Запровадити додатковий контроль інформації, що відправляється до банку та з нього. Проводити реверс-інжиніринг злочинного ПЗ, виявляти контрольні центри, та шукати сліди злочинного ПЗ в системах банку.
• Стримування злочинців в разі інциденту. Відключити можливість доступу в Інтернет із внутрішніх сегментів мережі банку, і особливо з критичних робочих місць. Розробити план стримування для виключення подальших інцидентів і створення максимальної кількості перешкод зловмисникам, які проникли в банк. Посилити захист найбільш критичних платіжних сервісів – SWIFT, СЕП, процесинг, інтернет-банкінг, банкомати, системи грошових переказів тощо. Запровадити для цих сервісів сегментацію на мережевому рівні, виведення із загального домену, запровадження додаткових лімітів та контролів на рівні бізнес-процесів, впровадження алгоритмів моніторингу аномальної платіжної активності та відключення платіжних систем в разі виявлення підозрілих операцій. Провести перегенерацію ключів та паролів користувачів, щоденно міняти паролі адміністраторів. Зняти образи з скомпрометованих комп’ютерів та дослідити зразки злочинного коду, забезпечити зберігання цифрових доказів. Посилити безпеку домену та розпочати вичистку. Потрібно бути готовим до того, що екстрені процедурі із стримування злочинців можуть привести до простоїв в бізнес-процесах, оскільки зміни потрібно впроваджувати настільки терміново, що не завжди є можливість проводити ретельне тестування
• Вичищення систем. Викорінення злочинців з ІТ-систем банку є складною задачею, оскільки в банках використовуються тисячі комп’ютерів та серверів, і пошук слідів злочинного ПЗ та вичистка чи переінсталяція інфікованих пристроїв може зайняти тривалий час (від кількох місяців до року). Протягом цього часу банк вимушений буде працювати в режимі п

ISACA Kyiv Chapter

Вчера в 10:33 · 
..

Попередження: банки під загрозою

Нещодавно представники Київського Відділення Ісака були залучені до розслідування, стримування та вичистки інциденту, пов’язаного з крадіжкою значної суми з українського банку через систему SWIFT.

Після ретельного вивчення інциденту, ми вважаємо за необхідне попередити банківське товариство про наступне:
• Міжнародні злочинні угруповання Carbanak/Akunak та Buhtrap створили та розмістили у відкритому доступі набір інструментів для проникнення в банки та інші фінансові установи
• Нажаль, традиційні засоби захисту – міжмережеві екрани та антивіруси – недостатні для ефективної протидії
• Після проникнення в банк, хакери кілька місяців вивчають його роботу та внутрішні процеси
• Після ретельного вивчення роботи банку, зловмисники використовують повноваження легітимних користувачів для створення платежів через міжнародну міжбанківську систему платежів SWIFT та систему електронних платежів СЕП, і також атакують банкомати та картковий процесинг. 
• На даний момент скомпрометовано десятки банків (в основному в Україні та в Росії), з яких вкрадено сотні мільйонів доларів

Ми вважаємо, що зловмисники проникли в більшість українських банків, і в даний момент проводять вивчення бізнес-процесів та готуються до проведення шахрайських операцій.

Типовий алгоритм дій зловмисників
1. Встановлення на ПК співробітника банку злочинного ПЗ через інфікований лист або посилання. Традиційні антивірусні програми можуть бути недієвими, якщо злочинне ПЗ було щойно скомпільоване (атака класу APT або ZERO-DAY), запаковане/закриптоване спеціальною програмою-пакером тощо
2. Злочинне ПЗ ініціює підключення до контрольного центру з ПК користувача. Оскільки підключення ініціюється зсередини банку, більшість банків не блокують такі підключення
3. Далі з комп’ютера користувача проводиться вивчення внутрішньої інфраструктури банку, та проводяться атаки на інші ПК та сервери
4. За допомогою спеціалізованих засобів, таких як Mimikatz, перехоплюються паролі адміністраторів домену та захоплюється контроль всіх ПК, підключених в домен
5. Злочинці досліджують роботу банку та виявляють найбільш цінні робочі місця і сервери. На них встановлюються програми, які перехоплюють та передають зловмисникам копії екрану. Цей процес триває кілька місяців
6. Зловмисники очікують оптимального часу для атаки (наприклад, коли на кореспондентських рахунках найбільше грошей) та виводять кошти, використовуючи легітимні облікові записи користувачів банку, і виконують зачистку своїх слідів

Що робити? Нижче ми надаємо невичерпний перелік кроків, які необхідно запровадити
• Організаційна підготовка. Створити плани реагування на інциденти, пов’язані з платіжними системами (відповідальні; кризова команда; комунікації – внутрішні, з платіжними системами та контрагентами; відключення, та ін.)Провести аудит безпеки та розробити і впровадити план швидких змін, а також архітектуру і програму забезпечення безпеки
• Моніторинг та аналіз інцидентів та подій безпеки. Запровадити повноцінний процес моніторингу подій безпеки та аналізу ризиків. Запровадити інструменти для виявлення вторгнень, консолідації та кореляції подій з усіх систем. Запровадити додатковий контроль інформації, що відправляється до банку та з нього. Проводити реверс-інжиніринг злочинного ПЗ, виявляти контрольні центри, та шукати сліди злочинного ПЗ в системах банку. 
• Стримування злочинців в разі інциденту. Відключити можливість доступу в Інтернет із внутрішніх сегментів мережі банку, і особливо з критичних робочих місць. Розробити план стримування для виключення подальших інцидентів і створення максимальної кількості перешкод зловмисникам, які проникли в банк. Посилити захист найбільш критичних платіжних сервісів – SWIFT, СЕП, процесинг, інтернет-банкінг, банкомати, системи грошових переказів тощо. Запровадити для цих сервісів сегментацію на мережевому рівні, виведення із загального домену, запровадження додаткових лімітів та контролів на рівні бізнес-процесів, впровадження алгоритмів моніторингу аномальної платіжної активності та відключення платіжних систем в разі виявлення підозрілих операцій. Провести перегенерацію ключів та паролів користувачів, щоденно міняти паролі адміністраторів. Зняти образи з скомпрометованих комп’ютерів та дослідити зразки злочинного коду, забезпечити зберігання цифрових доказів. Посилити безпеку домену та розпочати вичистку. Потрібно бути готовим до того, що екстрені процедурі із стримування злочинців можуть привести до простоїв в бізнес-процесах, оскільки зміни потрібно впроваджувати настільки терміново, що не завжди є можливість проводити ретельне тестування
• Вичищення систем. Викорінення злочинців з ІТ-систем банку є складною задачею, оскільки в банках використовуються тисячі комп’ютерів та серверів, і пошук слідів злочинного ПЗ та вичистка чи переінсталяція інфікованих пристроїв може зайняти тривалий час (від кількох місяців до року). Протягом цього часу банк вимушений буде працювати в режимі п

0/5000

Источник: -

Цель: -

Результаты (русский) 1: [копия]

Скопировано!

ISACA Киев главаVčera в 10:33 · ..Предупреждение: банки под угрозойНедавно представители киевского филиала Исаака участвовали в расследовании и vičistki инцидент, связанный с кража большого объема из банка через SWIFT.После тщательного изучения этого инцидента мы считаем необходимым уведомить Банк о следующей компании:• Международной преступной группы Carbanak/Akunak и Buhtrap создан и помещен в общественном достоянии набор инструментов для проникновения в банки и другие финансовые учреждения• К сожалению, традиционные средства защиты – брандмауэры и антивирусы является недостаточным для эффективного противодействия• После проникновения банка, хакеры через несколько месяцев, изучая его работу и внутренние процессы• Після ретельного вивчення роботи банку, зловмисники використовують повноваження легітимних користувачів для створення платежів через міжнародну міжбанківську систему платежів SWIFT та систему електронних платежів СЕП, і також атакують банкомати та картковий процесинг. • На даний момент скомпрометовано десятки банків (в основному в Україні та в Росії), з яких вкрадено сотні мільйонів доларівМи вважаємо, що зловмисники проникли в більшість українських банків, і в даний момент проводять вивчення бізнес-процесів та готуються до проведення шахрайських операцій.Типовий алгоритм дій зловмисників1. Установка PC банковского работника уголовного программного обеспечения через зараженные или ссылку. Традиционные антивирусные программы могут быть непродуктивным, если уголовное программное обеспечение просто был составлен самостоятельно (нападение класса APT или ZERO-DAY) Упакованные/zakriptovane специальные программы pakerom, и т.д.2. уголовное программного обеспечения инициирует подключение к центр управления пользователя ПК. Поскольку подключение инициируется из внутри банка, большинство банков не блокировать эти соединения3. на компьютере пользователя осуществляется исследование внутренней инфраструктуры банка, и проведенные нападения на другие компьютеры и серверы4. Использование специализированных инструментов, таких как Mimikatz, пароли перехватываемых администраторами домена и захвачен контроль всех компьютеров, подключенных в домене5. Злочинці досліджують роботу банку та виявляють найбільш цінні робочі місця і сервери. На них встановлюються програми, які перехоплюють та передають зловмисникам копії екрану. Цей процес триває кілька місяців6. Зловмисники очікують оптимального часу для атаки (наприклад, коли на кореспондентських рахунках найбільше грошей) та виводять кошти, використовуючи легітимні облікові записи користувачів банку, і виконують зачистку своїх слідівЩо робити? Нижче ми надаємо невичерпний перелік кроків, які необхідно запровадити• Организационное обучение. Создавать планы для реагирования на инциденты, связанные с платежными системами (ответственный; кризис команды; коммуникация – внутренний, с платежными системами и контрагентами; отключение, и т.д.) Для проведения аудита безопасности и разработать и осуществить план быстрых изменений, а также архитектуры и приложений безопасности• Мониторинг и анализ инцидентов и событий. Реализовать полный процесс мониторинга событий безопасности и анализа рисков. Внедрение инструментов для обнаружения вторжений, корреляции событий и консолидации всех систем. Чтобы ввести дополнительный контроль информации, которая отправляется в банк, так и вне ее. Выполнить реконструирование уголовного программного обеспечения выявления центров управления и для поиска следов уголовного банковских систем программного обеспечения. • Стримування злочинців в разі інциденту. Відключити можливість доступу в Інтернет із внутрішніх сегментів мережі банку, і особливо з критичних робочих місць. Розробити план стримування для виключення подальших інцидентів і створення максимальної кількості перешкод зловмисникам, які проникли в банк. Посилити захист найбільш критичних платіжних сервісів – SWIFT, СЕП, процесинг, інтернет-банкінг, банкомати, системи грошових переказів тощо. Запровадити для цих сервісів сегментацію на мережевому рівні, виведення із загального домену, запровадження додаткових лімітів та контролів на рівні бізнес-процесів, впровадження алгоритмів моніторингу аномальної платіжної активності та відключення платіжних систем в разі виявлення підозрілих операцій. Провести перегенерацію ключів та паролів користувачів, щоденно міняти паролі адміністраторів. Зняти образи з скомпрометованих комп’ютерів та дослідити зразки злочинного коду, забезпечити зберігання цифрових доказів. Посилити безпеку домену та розпочати вичистку. Потрібно бути готовим до того, що екстрені процедурі із стримування злочинців можуть привести до простоїв в бізнес-процесах, оскільки зміни потрібно впроваджувати настільки терміново, що не завжди є можливість проводити ретельне тестування• Вичищення систем. Викорінення злочинців з ІТ-систем банку є складною задачею, оскільки в банках використовуються тисячі комп’ютерів та серверів, і пошук слідів злочинного ПЗ та вичистка чи переінсталяція інфікованих пристроїв може зайняти тривалий час (від кількох місяців до року). Протягом цього часу банк вимушений буде працювати в режимі п

переводится, пожалуйста, подождите..

Результаты (русский) 2:[копия]

Скопировано!

ISACA Kyiv Chapter Вчера в 10:33 · .. Предупреждение : банки под угрозой Недавно представители Киевского Отделения Исаака были привлечены к расследованию , сдерживания и вичисткы инцидента , эт ' связанного с кражей крупной суммы из украинского банка через систему SWIFT. После тщательного изучения инцидента , мы считаем необходимым предупредить банковское общество следующее : • Международные преступные группировки Carbanak / Akunak и Buhtrap создали и разместили в открытом доступе набор инструментов для проникновения в банки и другие финансовые учреждения • К сожалению , традиционные средства защиты - межсетевые экраны и антивирусы - недостаточны для эффективной противодействия • После проникновения в банк , хакеры несколько месяцев изучают его работу и внутренние процессы • После тщательного изучения работы банка , злоумышленники используют полномочия легитимных пользователей для создания платежей через международную межбанковскую систему платежей SWIFT и систему электронных платежей СЭП , и также атакуют банкоматы и карточный процессинг . • На данный момент скомпрометировано десятки банков ( в основном в Украине и в России ), из которых украдено сотни миллионов долларов Мы считаем , что злоумышленники проникли в большинство украинских банков , и в данный момент проводят изучение бизнес - процессов и готовятся к проведению мошеннических операций . Типичный алгоритм действий злоумышленников 1. Установка на ПК сотрудника банка преступного ПО через зараженное письмо или ссылки . Традиционные антивирусные программы могут быть недейственными , если преступное ПО было только скомпилировано ( атака класса APT или ZERO - DAY), упакованное / закриптоване специальной программой - пакером и т 2. Преступное пО инициирует подключение к контрольному центру с ПК пользователя . Поскольку подключение инициируется изнутри банка , большинство банков не блокируют такие подключения 3. Далее с компьютера " ютера пользователя проводится изучение внутренней инфраструктуры банка , и проводятся атаки на другие ПК и серверы 4. с помощью специализированных средств , таких как Mimikatz, перехватываются пароли администраторов домена и увлекается контроль всех ПК , подключенных в домен 5. Преступники исследуют работу банка и выявляют наиболее ценные рабочие места и серверы . На них устанавливаются программы , которые перехватывают и передают злоумышленникам копии экрана . этот процесс длится несколько месяцев 6. Злоумышленники ожидают оптимального времени для атаки ( например , когда на корреспондентских счетах больше денег ) и выводят средства , используя законные учетные записи пользователей банка , и выполняют зачистку своих следов Что делать ? Ниже мы предоставляем неисчерпаемый перечень шагов , которые необходимо ввести • Организационная подготовка . Создать планы реагирования на инциденты , эт ' связаны с платежными системами ( ответственные ; кризисная команда ; коммуникации - внутренние , с платежными системами и контрагентами ; отключение , и др .) Провести аудит безопасности и разработать и внедрить план быстрых изменений , а также архитектуру и программу обеспечения безопасности • Мониторинг и анализ инцидентов и событий безопасности . Ввести полноценный процесс мониторинга событий безопасности и анализа рисков . Ввести инструменты для обнаружения вторжений , консолидации и корреляции событий из всех систем . Ввести дополнительный контроль информации , отправляемой в банк и из него . Проводить реверс - инжиниринг преступного пО , обнаруживать контрольные центры , и искать следы преступного пО в системах банка . • Сдерживание преступников в случае инцидента . Отключить возможность доступа в Интернет с внутренних сегментов сети банка , и особенно критических рабочих мест . Разработать план сдерживания для исключения дальнейших инцидентов и создание максимального количества препятствий злоумышленникам , которые проникли в банк . Усилить защиту наиболее критических платежных денежных переводов и т . Ввести для этих сервисов сегментацию на сетевом уровне , вывода из общего домена , введение дополнительных лимитов и контролей на уровне бизнес - процессов , внедрение алгоритмов мониторинга аномальной платежной активности и отключения платежных систем в случае обнаружения подозрительных операций . Провести перегенерации ключей и паролей пользователей , ежедневно менять пароли администраторов . Снять образы с скомпрометированных комп " компьютеров и исследовать образцы преступного кода , обеспечить хранение цифровых доказательств . Усилить безопасность домена и начать вичистку . Нужно быть готовым к тому , что экстренные процедуре по сдерживанию преступников могут привести к простоям в бизнес - процессах , поскольку изменения нужно внедрять столь срочно , что не всегда есть возможность проводить тщательное тестирование • вычистке систем . Искоренение преступников с ИТ - систем банка является сложной задачей , поскольку в банках используются тысячи комп " компьютеров и серверов , и поиск следов преступного пО и вичистка или переустановка инфицированных устройств может занять длительное время ( от нескольких месяцев до года ). в течение этого времени банк вынужден будет работать в режиме п

переводится, пожалуйста, подождите..

Результаты (русский) 3:[копия]

Скопировано!

%%%%

переводится, пожалуйста, подождите..

Другие языки

Поддержка инструмент перевода: Клингонский (pIqaD), Определить язык, азербайджанский, албанский, амхарский, английский, арабский, армянский, африкаанс, баскский, белорусский, бенгальский, бирманский, болгарский, боснийский, валлийский, венгерский, вьетнамский, гавайский, галисийский, греческий, грузинский, гуджарати, датский, зулу, иврит, игбо, идиш, индонезийский, ирландский, исландский, испанский, итальянский, йоруба, казахский, каннада, каталанский, киргизский, китайский, китайский традиционный, корейский, корсиканский, креольский (Гаити), курманджи, кхмерский, кхоса, лаосский, латинский, латышский, литовский, люксембургский, македонский, малагасийский, малайский, малаялам, мальтийский, маори, маратхи, монгольский, немецкий, непальский, нидерландский, норвежский, ория, панджаби, персидский, польский, португальский, пушту, руанда, румынский, русский, самоанский, себуанский, сербский, сесото, сингальский, синдхи, словацкий, словенский, сомалийский, суахили, суданский, таджикский, тайский, тамильский, татарский, телугу, турецкий, туркменский, узбекский, уйгурский, украинский, урду, филиппинский, финский, французский, фризский, хауса, хинди, хмонг, хорватский, чева, чешский, шведский, шона, шотландский (гэльский), эсперанто, эстонский, яванский, японский, Язык перевода.