8 октября 2020

Повысили градус безопасности: Simple успешно внедрила решение Group-IB TDS

Group-IB, международная компания, специализирующаяся на предотвращении кибератак, и группа компаний Simple, один из крупнейших импортеров и дистрибьюторов высококачественной алкогольной продукции на российском рынке, сообщают об успешном внедрении комплекса для проактивного обнаружения киберугроз — Threat Detection System (TDS). Благодаря TDS Simple уже на этапе тестирования смог защититься от вредоносной рассылки под видом письма от ФНС России и «вычислил» в своей инфраструктуре троян-майнер Coinminer, который не обнаружили стандартные средства защиты: антивирусы, межсетевые экраны и системы предотвращения вторжений.

Ритейл является одной из наиболее чувствительных к киберинцидентам отраслей — один день простоя производства может грозить компаниям потерями нескольких сотен миллионов рублей. Основными киберугрозами для ритейла, по данным аналитиков Threat Intelligence, в настоящее время являются вирусы-шифровальщики, программы-майнеры, а также взлом и хищение денег со счетов или персональных данных клиентов.

По данным CERT-GIB в первом квартале 2020 года подавляющее большинство кибератак начинались с почтовых рассылок, которые содержали «на борту» программы-шпионы (43%), загрузчики (17% ), бэкдоры (16%) и банковские трояны (15%). Шифровальщики не исчезли со сцены — просто хакеры уже не прячут их непосредственно в архив письма, а устанавливают сначала на машину жертвы бэкдор или банковский троян, проводят разведку, захватывают сеть, и только потом распространяют шифровальщик на компьютеры в сети.

Опасное письмо не пройдет

В ходе тестирования у Simple TDS Group-IB продемонстрировала преимущество перед другими решениями. Летом 2020 года Polygon TDS успешно задетектировала и заблокировала почтовую рассылку якобы от ФНС России, которая содержала вредоносные вложения. Файл представлял из себя программу RMS (Remote Manipulator System). Хотя данная утилита и является легальным инструментом для удалённого управления компьютером, разработанная российской компанией TektonIT, злоумышленники модифицировали программу таким образом, что при запуске они получали полный удаленный контроль над атакованным компьютером. Письма, направленные в адрес клиентов, были классифицированы TDS как вредоносные и успешно заблокированы.

Технология глубокого анализа файлов и детонации вредоносных нагрузок Group-IB Polygon позволяет существенно поднять защищенность любого предприятия по ключевым векторам начального проникновения. Мы очень рады, что наша технология и формат ее поставки в виде облачного сервиса Polygon Cloud были по достоинству оценены и приняты на вооружение таким интересным клиентом, как Simple Group.

Никита Кислицин

Никита Кислицин

Руководитель Департамента сетевой безопасности Group-IB

Пришел, увидел, победил

Еще один эпизод, связанный с обнаружением трояна-майнера, произошел непосредственно в самом начале тестирования. Сразу после установки TDS Sensor, модуль сигнатурного анализа трафика и выявления сетевых аномалий, зафиксировал подозрительную активность, квалифицированную как троян-майнер Coinminer. Опасность в том, что майнинг (криптоджекинг) — это не только прямые финансовые потери вследствие повышенных затрат на электричество, но и угроза устойчивости и непрерывности бизнес-процессов в силу замедления работы корпоративных систем и повышенной амортизации аппаратных средств.

Сотрудники ИТ-службы Simple оперативно провели сканирование сети несколькими антивирусами крупнейших российских и европейских производителей, но задетектировать активность с помощью обычных антивирусных программ не удалось.TDS Sensor позволил «вычислить», откуда исходила угроза. Simple оперативно заблокировал необходимые службы на «майнящих» хостах и, следуя рекомендациям экспертов Лаборатории компьютерной криминалистики Group-IB, ликвидировал опасность.

Мы иногда даже забываем, что у нас стоит система TDS, так мало ложных срабатываний. Пользовательский интерфейс максимально продуман. Не нужно много ресурсов, чтобы научиться полноценно управлять системой, всё интуитивно понятно и на своём месте. В результате внедрения TDS у нас значительно увеличилось время ИБ-специалистов, которое, наконец, они могут потратить на развитие всей инфраструктуры, внедрение новых технологий и обучению и повышению квалификации.

Владимир Бондарев

Владимир Бондарев

Руководитель управления инфраструктуры и поддержки, Дирекция информационных технологий Simple Group

Семейство продуктов Group-IB Threat Detection System — это комплексное решение для защиты от сложных киберугроз, основанное на технологиях слежения за киберпреступниками, их инструментами и инфраструктурой.

Group-IB TDS Polygon — высокотехнологичная система раннего выявления кибератак. Group-IB TDS Polygon выносит вердикт о степени опасности объекта на основании классификатора, формируемого системой поведенческого анализа.

TDS Sensor выявляет коммуникации зараженных устройств с командными центрами, общие сетевые аномалии и необычное поведение устройств. Кроме того, TDS Sensor извлекает потенциально опасные объекты, передаваемые по сети организации, для анализа в системе TDS Polygon.

За управление инфраструктурой и анализ данных отвечает TDS Huntbox. Новый модуль в составе семейства TDS обеспечивает внутренний и внешний Threat Hunting (охота за угрозами), агрегирует и хранит все данные с других модулей, позволяя осуществлять ретроспективный анализ атаки, корреляцию и исследование различных событий, а также атрибуцию до конкретной группы атакующих. Запатентованные технологии продуктов используют передовую экспертизу и эксклюзивную разведывательную информацию Group‑IB Threat Hunting Intelligence.

Все компоненты Group-IB TDS тесно интегрируются друг с другом. Наличие единой консоли управления TDS Huntbox, круглосуточный мониторинг событий силами специалистов СERT-Group-IB, а также аналитическая поддержка специалистов при инцидентах информационной безопасности, обеспечивают надежную превентивную защиту бизнеса от киберугроз.

Group-IB — один из ведущих разработчиков решений для детектирования и предотвращения кибератак, выявления фрода и защиты интеллектуальной собственности в сети. Система сбора данных о киберугрозах Group-IB Threat Intelligence признана одной из лучших в мире по версии Gartner, Forrester, IDC.

В основе технологического лидерства компании – 17-летний опыт расследования киберпреступлений по всему миру и более 60 000 часов реагирования на инциденты ИБ, аккумулированные в крупнейшей в Восточной Европе Лаборатории компьютерной криминалистики и круглосуточном центре оперативного реагирования CERT-GIB.

Group-IB — партнер Interpol и Europol, поставщик решений в сфере кибербезопасности, рекомендованный SWIFT и ОБСЕ. Group-IB – компания-участник Всемирного экономического форума.

>

Сообщить об инциденте

Центр круглосуточного реагирования на инциденты
информационной безопасности +7 495 984-33-64

Отправляя форму, даю согласие на обработку своих персональных данных в соответствии с Федеральным законом «О персональных данных» от 27.07.2006 № 152-ФЗ
Спасибо, мы свяжемся с Вами в самое ближайшее время
Сообщить об инциденте