Повысили градус безопасности: Simple успешно внедрила решение Group-IB TDS

Group-IB, международная компания, специализирующаяся на предотвращении кибератак, и группа компаний Simple, один из крупнейших импортеров и дистрибьюторов высококачественной алкогольной продукции на российском рынке, сообщают об успешном внедрении комплекса для проактивного обнаружения киберугроз — Threat Detection System (TDS). Благодаря TDS Simple уже на этапе тестирования смог защититься от вредоносной рассылки под видом письма от ФНС России и «вычислил» в своей инфраструктуре троян-майнер Coinminer, который не обнаружили стандартные средства защиты: антивирусы, межсетевые экраны и системы предотвращения вторжений.

Ритейл является одной из наиболее чувствительных к киберинцидентам отраслей — один день простоя производства может грозить компаниям потерями нескольких сотен миллионов рублей. Основными киберугрозами для ритейла, по данным аналитиков Threat Intelligence, в настоящее время являются вирусы-шифровальщики, программы-майнеры, а также взлом и хищение денег со счетов или персональных данных клиентов.

По данным CERT-GIB в первом квартале 2020 года подавляющее большинство кибератак начинались с почтовых рассылок, которые содержали «на борту» программы-шпионы (43%), загрузчики (17% ), бэкдоры (16%) и банковские трояны (15%). Шифровальщики не исчезли со сцены — просто хакеры уже не прячут их непосредственно в архив письма, а устанавливают сначала на машину жертвы бэкдор или банковский троян, проводят разведку, захватывают сеть, и только потом распространяют шифровальщик на компьютеры в сети.

Опасное письмо не пройдет

В ходе тестирования у Simple TDS Group-IB продемонстрировала преимущество перед другими решениями. Летом 2020 года Polygon TDS успешно задетектировала и заблокировала почтовую рассылку якобы от ФНС России, которая содержала вредоносные вложения. Файл представлял из себя программу RMS (Remote Manipulator System). Хотя данная утилита и является легальным инструментом для удалённого управления компьютером, разработанная российской компанией TektonIT, злоумышленники модифицировали программу таким образом, что при запуске они получали полный удаленный контроль над атакованным компьютером. Письма, направленные в адрес клиентов, были классифицированы TDS как вредоносные и успешно заблокированы.

Технология глубокого анализа файлов и детонации вредоносных нагрузок Group-IB Polygon позволяет существенно поднять защищенность любого предприятия по ключевым векторам начального проникновения. Мы очень рады, что наша технология и формат ее поставки в виде облачного сервиса Polygon Cloud были по достоинству оценены и приняты на вооружение таким интересным клиентом, как Simple Group.

Никита Кислицин
Никита Кислицин

Руководитель Департамента сетевой безопасности Group-IB

Пришел, увидел, победил

Еще один эпизод, связанный с обнаружением трояна-майнера, произошел непосредственно в самом начале тестирования. Сразу после установки TDS Sensor, модуль сигнатурного анализа трафика и выявления сетевых аномалий, зафиксировал подозрительную активность, квалифицированную как троян-майнер Coinminer. Опасность в том, что майнинг (криптоджекинг) — это не только прямые финансовые потери вследствие повышенных затрат на электричество, но и угроза устойчивости и непрерывности бизнес-процессов в силу замедления работы корпоративных систем и повышенной амортизации аппаратных средств.

Сотрудники ИТ-службы Simple оперативно провели сканирование сети несколькими антивирусами крупнейших российских и европейских производителей, но задетектировать активность с помощью обычных антивирусных программ не удалось.TDS Sensor позволил «вычислить», откуда исходила угроза. Simple оперативно заблокировал необходимые службы на «майнящих» хостах и, следуя рекомендациям экспертов Лаборатории компьютерной криминалистики Group-IB, ликвидировал опасность.

Мы иногда даже забываем, что у нас стоит система TDS, так мало ложных срабатываний. Пользовательский интерфейс максимально продуман. Не нужно много ресурсов, чтобы научиться полноценно управлять системой, всё интуитивно понятно и на своём месте. В результате внедрения TDS у нас значительно увеличилось время ИБ-специалистов, которое, наконец, они могут потратить на развитие всей инфраструктуры, внедрение новых технологий и обучению и повышению квалификации.

Владимир Бондарев
Владимир Бондарев

Руководитель управления инфраструктуры и поддержки, Дирекция информационных технологий Simple Group

Семейство продуктов Group-IB Threat Detection System — это комплексное решение для защиты от сложных киберугроз, основанное на технологиях слежения за киберпреступниками, их инструментами и инфраструктурой.

Group-IB TDS Polygon — высокотехнологичная система раннего выявления кибератак. Group-IB TDS Polygon выносит вердикт о степени опасности объекта на основании классификатора, формируемого системой поведенческого анализа.

TDS Sensor выявляет коммуникации зараженных устройств с командными центрами, общие сетевые аномалии и необычное поведение устройств. Кроме того, TDS Sensor извлекает потенциально опасные объекты, передаваемые по сети организации, для анализа в системе TDS Polygon.

За управление инфраструктурой и анализ данных отвечает TDS Huntbox. Новый модуль в составе семейства TDS обеспечивает внутренний и внешний Threat Hunting (охота за угрозами), агрегирует и хранит все данные с других модулей, позволяя осуществлять ретроспективный анализ атаки, корреляцию и исследование различных событий, а также атрибуцию до конкретной группы атакующих. Запатентованные технологии продуктов используют передовую экспертизу и эксклюзивную разведывательную информацию Group‑IB Threat Hunting Intelligence.

Все компоненты Group-IB TDS тесно интегрируются друг с другом. Наличие единой консоли управления TDS Huntbox, круглосуточный мониторинг событий силами специалистов СERT-Group-IB, а также аналитическая поддержка специалистов при инцидентах информационной безопасности, обеспечивают надежную превентивную защиту бизнеса от киберугроз.

О компании

Group-IB — один из ведущих разработчиков решений для детектирования и предотвращения кибератак, выявления мошенничества, исследования высокотехнологичных преступлений и защиты интеллектуальной собственности в сети. Штаб-квартира Group-IB расположена в Москве. Компания является резидентом «Сколково» и Иннополиса.

В основе технологического лидерства Group-IB — 19-летний практический опыт исследований киберпреступлений по всему миру и более 70 000 часов реагирования на инциденты информационной безопасности, аккумулированные в одной из крупнейших лабораторий компьютерной криминалистики и круглосуточном центре оперативного реагирования CERT-GIB. Решения Group-IB признаны ведущими аналитическими агентствами Forrester, Gartner, IDC и только в 2022 году получили 8 золотых наград в рамках Cybersecurity Excellence Awards.