Четырёхкратный рост банковских троянов, 83% финансовых организаций с дырой в корпоративной почте и supply chain как вектор каждой четвёртой атаки. Бюллетень «Киберпульс.Финансы» от Kaspersky GReAT, представленный на Уральском форуме «Кибербезопасность в финансах», зафиксировал 43% рост кибератак на финансовый сектор России за 2025 год. К Q1 2026 года, по данным «Информзащиты» (опубликованы «Коммерсантом»), фишинг - 68% всех инцидентов, шифровальщики - 21%, атаки через подрядчиков - 26%. Ниже - конкретные TTPs атакующих с маппингом на MITRE ATT&CK, рабочие Sigma-правила и корреляционная логика, которую можно затащить в ваш SIEM уже сегодня.
Угрозы финансовому сектору: динамика атак на банки в цифрах
Картина строится по нескольким независимым источникам, и цифры друг другу не противоречат - финансовый сектор остаётся под постоянным давлением.2025 год (по данным бюллетеня Kaspersky GReAT):
- Общий рост кибератак на финансовые учреждения - 43% по сравнению с 2024 годом
- Банкеры (ВПО для кражи денег через онлайн-доступ к счетам) - рост в 4 раза
- Шпионское ПО - +42%
- Шифровальщики - +32%
- Атаки через скомпрометированные онлайн-ресурсы - +81% за первое полугодие
- 83% организаций столкнулись с угрозами в корпоративной электронной почте
Q1 2026 (по данным «Информзащиты»):
| Вектор / инструмент | Доля от инцидентов | Динамика год к году |
|---|---|---|
| Фишинг и социальная инженерия | 68% | +11 п.п. |
| ВПО с удалённым доступом | 41% | +11 п.п. |
| Атаки на цепочки поставок | 26% | максимум за 2 года |
| Шифровальщики | 21% | максимум за 2 года |
| Шпионское ПО | 16% | максимум за 2 года |
Доли превышают 100% - в одной атаке применяется несколько инструментов. Технический директор MD Audit Юрий Тюрин прямо говорит: многоступенчатость затрудняет обнаружение. Каждая отдельная активность может выглядеть легитимно, а средства защиты, заточенные под одиночные сигнатуры, цепочку целиком не видят.
Отдельный тренд - автоматизация фишинга через GenAI. По данным CrowdStrike Global Threat Report 2025, вредоносное использование генеративного ИИ для социальной инженерии удвоилось за год. IBM X-Force показали, что генерация фишинговых писем с GenAI быстрее в 11,4 раза при сопоставимом качестве. Для финансового сектора это значит одно: более убедительные подделки под регуляторные запросы ЦБ и уведомления ФинЦЕРТ - тематику, на которую сотрудники банков кликают рефлекторно.
Векторы атак на банки: Initial Access через призму ATT&CK
Три основных вектора начального проникновения в инфраструктуру финансовых организаций России по итогам 2025 - начала 2026 года.Spearphishing Attachment (T1566.001, Initial Access)
68% инцидентов начинаются с фишинга. Бюллетень Kaspersky GReAT описывает два характерных семейства ВПО, нацеленных на финансовый сектор:GodRAT - RAT, который приходит через SCR-файлы, замаскированные под финансовые документы. Прячет шелл-код в изображениях через стеганографию. Application Whitelisting блокирует запуск SCR из временных директорий, но если политики настроены мягко (а в legacy-инфраструктурах с устаревшими АРМ это почти норма), GodRAT проходит.
Cobalt Strike Beacon через DLL Hijacking - цепочка начинается с таргетированного письма. Нагрузка выполняется через подмену DLL-библиотек в легитимных подписанных утилитах. Payload зашифрован (T1027, Obfuscated Files or Information) и лежит на легитимных платформах - облачных хранилищах и CDN. Для EDR это головная боль: загрузку DLL инициирует доверенный процесс, трафик идёт на «чистый» домен. Ловить можно по аномалиям в цепочке загрузки DLL и нехарактерному JA3-хешу TLS-соединения. Но для этого нужен baseline - а он есть далеко не у всех.
FunkSec - шифровальщик, по данным Check Point Research (январь 2025), с предполагаемым использованием LLM для генерации частей кода. Совмещает шифрование и кражу данных (T1486, Data Encrypted for Impact), умеет самоочищаться и гасит более 50 процессов на устройстве жертвы (T1562.001, Disable or Modify Tools). Для SOC тут критичный момент: FunkSec массово останавливает защитные сервисы до начала шифрования. Если ваш SIEM мониторит статус агентов EDR - это первый звоночек. Если не мониторит - вы узнаете о проблеме, когда файлы уже зашифрованы.
Ещё один вектор, который набирает обороты - AiTM-фишинг (Adversary-in-the-Middle). По данным Microsoft, в Q1 2026 вырос credential phishing с перехватом MFA-токенов, в том числе через CAPTCHA-gated кампании. Для банков с обязательной двухфакторной аутентификацией это вектор, который обходит MFA как класс защиты. Не ослабляет, не брутфорсит - именно обходит.
Exploit Public-Facing Application (T1190, Initial Access)
Атаки через скомпрометированные онлайн-ресурсы выросли на 81% за H1 2025 (данные бюллетеня Kaspersky). Для банков это порталы интернет-банкинга, API платёжных шлюзов, личные кабинеты корпоративных клиентов. Дмитрий Галов (руководитель Kaspersky GReAT в России) отметил «повышенное внимание злоумышленников к поиску и эксплуатации уязвимостей» осенью 2025 года - и это коррелирует с крупнейшим за два года всплеском шифровальщиков в октябре. В modern-инфраструктуре с WAF и API Gateway детектирование требует анализа не только входящих запросов, но и аномалий в поведении бэкенда после эксплуатации. WAF отловит SQLi в параметре - но пропустит SSRF, которая дёргает внутренний metadata-сервис.Valid Accounts (T1078, Initial Access / Persistence / Privilege Escalation)
Вектор, который пересекается с insider threat и supply chain - и при этом один из самых тяжёлых для детектирования. Скомпрометированные учётные данные подрядчиков: легитимный аккаунт, легитимный VPN, действия в рабочее время. Руководитель направления Innostage Тагир Кабиров говорит прямо: «подрядчиков взломать проще и дешевле - большинство контрагентов не обладают достаточным бюджетом на собственную ИБ». Для SOC единственный рабочий подход - behavioral baseline: если учётка подрядчика из «Техносерв» вдруг начинает обращаться к сегменту SWIFT-инфраструктуры, это аномалия, даже если формально права доступа позволяют. Проблема в том, что этот baseline надо сначала построить.Kill chain атаки на банк: типовой сценарий по публичным разборам
Обобщённый kill chain, реконструированный по публичным данным бюллетеня Kaspersky GReAT, отчётов «Информзащиты» и материалов ФинЦЕРТ. Это не описание конкретного инцидента - это типовая цепочка, которую SOC финансовой организации должен уметь детектировать на каждом этапе.| Этап | Техника ATT&CK | ID | Индикатор для SOC |
|---|---|---|---|
| Доставка | Spearphishing Attachment | T1566.001 | Вложение .scr/.lnk, тема - «регуляторный запрос» |
| Выполнение | DLL Hijacking легитимной утилиты | - | Неподписанная DLL, загруженная доверенным процессом |
| Закрепление | Valid Accounts | T1078 | Вход под учёткой подрядчика из нетипичной подсети |
| Уклонение | Obfuscated Files or Information | T1027 | Зашифрованный payload на легитимном CDN |
| Уклонение | Disable or Modify Tools | T1562.001 | Остановка служб EDR/AV на endpoint |
| Эксфильтрация | Exfiltration Over C2 Channel | T1041 | Аномальный объём исходящего HTTPS к CDN/cloud |
| Импакт (A) | Data Encrypted for Impact | T1486 | Массовое шифрование файлов за минуты |
| Импакт (B) | Financial Theft | T1657 | Операции в АРМ КБР/SWIFT вне расписания |
Вот в чём фокус: каждый отдельный шаг может выглядеть легитимно. SCR-файл - «просто скринсейвер», DLL грузится подписанным процессом, C2 идёт на домен CDN. Только корреляция цепочки событий - от получения письма до аномального исходящего трафика - даёт алерт с достаточной точностью. Поодиночке - шум. Вместе - атака.
Detection-чеклист и Sigma-правила для SOC финансовых организаций
Что мониторить на первом рубеже
Почта и endpoint:- SCR-файлы из вложений, запускаемые из
%TEMP%илиDownloads - Загрузка неподписанных DLL легитимными процессами (
svchost.exe,rundll32.exe) - TLS-соединения с нехарактерным для организации JA3-хешем
- Массовая остановка защитных сервисов на одном хосте
- Аутентификация под учётными данными подрядчиков в нерабочие часы или из нетипичной подсети
- Обращение к сегментам с платёжными системами (АРМ КБР, SWIFT, процессинг) от хостов, не входящих в baseline
- Аномальный объём исходящего HTTPS к облачным хранилищам и CDN
Sigma-правило: запуск SCR из временной директории
YAML:
title: SCR File Execution from Temp Directory
logsource:
category: process_creation
product: windows
detection:
selection:
Image|endswith: '.scr'
filter_path:
Image|contains:
- '\Temp\'
- '\Downloads\'
condition: selection and filter_path
level: high
tags:
- attack.initial_access
- attack.t1566.001process_creation на источники - Sysmon EventID 1 или Windows Security 4688 с расширенным аудитом командной строки. Для Elastic Security (версии 8.x) правило конвертируется через sigma-cli в EQL без модификации логики.Sigma-правило: остановка защитных сервисов
YAML:
title: Security Service Stopped via CLI
logsource:
category: process_creation
product: windows
detection:
sel_cmd:
CommandLine|contains:
- 'net stop'
- 'sc stop'
- 'taskkill'
sel_target:
CommandLine|contains:
- 'MsMpEng'
- 'csfalconservice'
- 'kavfs'
condition: sel_cmd and sel_target
level: criticalsel_target адаптируйте под свой стек endpoint protection: CrowdStrike Falcon (csfalconservice), Kaspersky (kavfs), Microsoft Defender (MsMpEng), SentinelOne (SentinelAgent). На практике стоит добавить ещё и имена сервисов вашего PAM-решения - если атакующий дошёл до taskkill на СКДПУ, дело плохо.Корреляционная логика: цепочка за 60 минут
Корреляционное правило в SIEM: в пределах 60 минут на одном хосте - (1) получение письма с вложением .scr или .lnk, (2) запуск процесса из%TEMP%, (3) исходящее TLS-соединение к домену, не входящему в whitelist. Три события по отдельности - шум. Три в цепочке за час - высокий алерт, требующий немедленного разбора. Если к цепочке добавляется (4) остановка сервиса EDR - эскалация до critical с автоматической изоляцией хоста.Звучит просто на бумаге. На практике главная сложность - качество whitelist'а. Если в нём 500 CDN-доменов «на всякий случай», правило будет молчать, когда нужно кричать.
Insider threat и скомпрометированные подрядчики: слепая зона SOC
Supply chain атаки на финансовые организации достигли 26% в Q1 2026 - максимум за два года. Руководитель департамента «Кросс технолоджис» Евгений Балк отмечает, что цель многовекторных атак - «перегрузить» внимание подразделений ИТ и ИБ, и в результате атаки дольше остаются незамеченными.Для SOC проблема скомпрометированных подрядчиков (T1078, Valid Accounts) выходит за рамки стандартного мониторинга: легитимные учётные данные не генерируют сигнатурных алертов. Банки начинают вводить ИБ-анкеты и совместные аудиты для контрагентов - по данным «Коммерсанта», в 2026 году это набирающая популярность практика. Но аудит - стратегия. А SOC нужна тактика.
Что работает на практике:
- Behavioral baseline для подрядчиков: отдельный профиль в UEBA - какие системы, в какое время, из какой подсети. Любое отклонение - алерт. Не «может быть подозрительно», а именно алерт.
- Сегментация привилегий: подрядчик, обслуживающий АБС Диасофт, не должен иметь сетевой доступ к сегменту процессинга. Мониторинг попыток обращения к «чужим» сегментам - через правила корреляции в SIEM.
- Privileged session recording: запись привилегированных сессий подрядчиков (через PAM типа СКДПУ НТ) с автоматическим анализом на предмет нетипичных команд. Да, это дорого. Но дешевле, чем инцидент в SWIFT-сегменте.
- Мониторинг эксфильтрации: контроль исходящего трафика от хостов, к которым подрядчики имеют доступ - аномальные объёмы выгрузки данных к внешним ресурсам (T1041, Exfiltration Over C2 Channel).
Оборотные штрафы и ФинЦЕРТ: бизнес-контекст для incident response
ЦБ России получил более 750 сообщений о компьютерных атаках на финансовые компании в 2024 году. С ужесточением ответственности за утечки персональных данных - включая оборотные штрафы, исчисляемые процентами от годовой выручки - стоимость пропущенного инцидента для банка измеряется не только прямым ущербом, но и регуляторными санкциями.Для SOC это меняет приоритизацию incident response: инцидент с потенциальной утечкой ПДн клиентов требует немедленной эскалации не только в ИБ, но и в юридический департамент и комплаенс. Playbook должен включать таймлайн регуляторного уведомления - ФинЦЕРТ требует оперативного информирования, и промедление SOC может стоить организации отдельного штрафа.
По данным бюллетеня Kaspersky GReAT, среди перспективных угроз - «нормативный» шантаж в атаках шифровальщиков: атакующие угрожают не только публикацией данных, но и уведомлением регулятора об утечке, чтобы увеличить давление на жертву. Шифровальщик превращается не только в техническую проблему, но и в юридическую гонку со временем.
Большинство SOC в российских банках, с которыми я сталкивался на Red Team-проектах, настроены на детектирование отдельных событий - подозрительный файл, аномальный вход, сигнатура ВПО. Но kill chain 2025–2026 построен именно на том, что каждый шаг по отдельности выглядит легитимно. DLL грузит подписанный процесс, трафик идёт на CDN, учётка подрядчика входит в рабочее время. Пока SIEM собирает эти события в три разные очереди, атакующий уже в сегменте SWIFT.
Корреляция цепочек за минуты, а не часы - вот где сейчас проходит водораздел между банком, который отобьётся, и банком, который заплатит. Причём заплатит дважды: и выкуп, и оборотный штраф.
Из того, что вижу в отчётах ФинЦЕРТ, самая опасная слепая зона - не отсутствие EDR, а отсутствие нормального baseline для подрядчиков. Банк может иметь SOC мирового уровня, но если 15 интеграторов с VPN-доступом никто не профилирует, достаточно одной скомпрометированной учётки, чтобы обойти всю эшелонированную защиту. Если интересно, как другие SOC-команды в финансовом секторе выстраивают корреляцию именно под supply chain атаки - на codeby.net идёт обсуждение с разбором конкретных кейсов и конфигураций.
Последнее редактирование:
