В начале декабря на международной конференции CyberCrimeCon был представлен традиционный отчет Group-IB “Hi-Tech Crime Trends”, посвященный анализу актуальных киберугроз для бизнеса и государственного сектора за период со второй половины 2020 по первое полугодие 2021 года. На этот раз отчет вышел в пяти томах, каждый из которых детально исследует различные аспекты киберкриминальной индустрии: рынок программ-вымогателей, продажи доступов в сети компаний, атаки прогосударственных хакерских групп (APT), угрозы для финансового сектора, а также скам и фишинг. Содержащиеся в отчетах “Hi-Tech Crime Trends” прогнозы и рекомендации, по словам CEO Group-IB Дмитрия Волкова, направлены на сокращение финансовых потерь, простоев инфраструктуры и принятие превентивных мер по противодействию целевым атакам, шпионажу и кибертеррористическим операциям.
Киберугроза № 1
Оценивая киберугрозы, которые нанесли наибольший ущерб организациям финансового сектора и их клиентам за период со второй половины 2020 по первое полугодие 2021 года, специалисты Group-IB выделили и проанализировали наиболее серьезную проблему для бизнеса, киберугрозу № 1 — программы-вымогатели.
Только в России количество их атак в 2021 году увеличилось на 200%. Суммы выкупов, которые требовали операторы шифровальщиков от своих жертв — международных компаний, огромны — некоторые доходили до $50–70 млн, около 30% атакованных компаний выплачивают выкуп злоумышленникам. Среди программ-вымогателей на первое место по проведенным атакам вышли Conti (16,5%), за ними Lockbit (11,5%) и Avaddon (7,5%). Группа Maze — лидер прошлого года — прекратила свое существование.
Прогноз Group-IB: количество скомпрометированных данных компаний, обнародованных на публичных ресурсах программвымогателей, будет расти. При этом основные атакуемые шифровальщиками отрасли, скорее всего, не изменятся — промышленность, недвижимость и транспорт, так как они наиболее монетизируемые для злоумышленников.
Доступ разрешен
Феноменальный рост программ-вымогателей неразрывно связан с другим трендом — увеличением количества продавцов доступов в скомпрометированные сети. Общий объем этого рынка составил $7 165 876, что на 16% больше, чем за прошлый период ($6 189 388). Подобные доступы могут использоваться как для проведения целевых атак, так и для распространения шифровальщиков и прочего вредоносного программного обеспечения. Суммарное количество доступов, выставленных за период со второй половины 2020 по первое полугодие 2021 года, составляет 1099, в том числе 95 фактов продажи доступов в компании финансового сектора. Чаще всего доступ предлагали в американские банки и финансовые организации.
Прогноз GroupIB: количество продаваемых доступов в финансовые компании увеличится. Это произойдет из-за роста рынка продажи доступов. Как следствие — вырастет и число атак программ-вымогателей на банки и финансовые компании.
Возвращение MoneyTaker
После трехлетнего перерыва в России вновь стали актуальны атаки на АРМ КБР — автоматизированное рабочее место клиента Банка России. В феврале 2021 года специалисты лаборатории компьютерной криминалистики Group-IB были привлечены к реагированию на инцидент в одном из российских банков, где атакующие смогли получить доступ к системе межбанковских переводов АРМ КБР. Изучив тактики, техники и процедуры (TTPs) киберпреступников, эксперты Group-IB предположили, что за атакой может стоять преступная группа MoneyTaker. Напомним, что в 2016–2019 годах именно эта группа совершала атаки на АРМ КБР и системы карточного процессинга в Великобритании, Гонконге, США, Украине и России.
Прогноз Group-IB: после успешной атаки на российский банк MoneyTaker на этом не остановятся и будут продолжать атаковать АРМ КБР. При этом риск повторения подобных атак не столь высок, как в 20172018 годах, когда целевые атаки на банки проводились ежемесячно. Реальной угрозой для банковского сектора в будущем являются атаки операторов программшифровальщиков.
Кардинг сжимается
Объем мирового рынка кардинга (продажи в андеграунде украденных данных банковских карт в виде дампов или текста) за исследуемый период уменьшился на 26% — с $1,9 млрд до $1,4 млрд. Это объясняется сокращением количества дампов (содержимое магнитных полос банковских карт) в продаже на 17% — до 58 млн — изза закрытия крупнейшего кардшопа Joker’s Stash. Рынок кардинга в России и СНГ впервые сжался на 77%, составив всего $270935 за отчетный период (со второй половины 2020 по первое полугодие 2021 года) против $1210491 в прошлом периоде (со второй половины 2019 по первое полугодие 2020 года). А общее количество данных банковских карт, выложенных на продажу в даркнете и атрибутируемых к банкам России и СНГ, сократилось на 60% — с 34 816 до 13 799.
Прогноз Group-IB: кардинг станет менее привлекательным для киберпреступников. После закрытия множества кардшопов эксперты Group-IB ожидают, что количество продаж банковских карт будет постепенно снижаться. Прежде всего это коснется продаж дампов.
Угроза для онлайн-ретейла
Количество обнаруженных семейств JS-снифферов за отчетный период выросло до 98, из них активными были 42 семейства. Наибольшую опасность JS-снифферы представляют для компаний сферы онлайн-торговли: за прошедший год с их помощью было скомпрометировано более 80 000 банковских карт клиентов онлайн-магазинов.
Прогноз GroupIB: JS-снифферы останутся основной угрозой для онлайнретейла. Особенно это касается небольших американских бизнесов, работающих под управлением CMS Magento, OpenCart. При этом основные риски будут связаны со штрафами за нарушение безопасности, а не с возмещением ущерба клиентам или репутационными потерями. Семейство снифферов Inter останется самым распространенным.
Скам и фишинг
Широкое распространение в отчетном периоде получили фишинговые и мошеннические партнерские программы (Scamasa‑service, Phishingasa‑service). Изначально они были ориентированы на Россию и страны СНГ. Сейчас в поле зрения специалистов GroupIB все чаще попадают «партнерки», нацеленные на европейские, азиатские, ближневосточные и американские компании. Известно о 71 бренде из 36 стран, под которые создают и распространяют фишинг участники таких «партнерок». Среди наиболее атакуемых: маркетплейсы (69,5%), сервисы доставки (17,2%), райдшеринг (сервисы по совместному использованию авто для поездок) — 12,8% и другие.
Прогноз Group-IB: вырастет количество фишинговых и мошеннических партнерских программ. В будущем злоумышленники начнут активнее развивать фишинговые партнерки под финансовый сектор. Такой вид мошенничества может стать более высокотехнологичной заменой звонков от фейковых колцентров. Увеличится и количество фишинговых фреймворков — это произойдет в том числе потому, что банки все чаще внедряют многофакторную аутентификацию. Мессенджер Telegram станет самым популярным способом для получения злоумышленниками скомпрометированных данных с фишинговых сайтов.
Остается добавить, что Hi-Tech Crime Trends открывает доступ к максимально полному набору стратегических данных и подробной информации об актуальных киберугрозах в мире как организациям, которые борются с киберпреступностью, так и потенциальным жертвам. Команда Group-IB убеждена в том, что постоянный обмен данными, создание и развитие партнерских отношений между частными компаниями и международными правоохранительными органами — эффективный путь борьбы с киберпреступностью. Осознанное отношение к кибербезопасности поможет сохранить и защитить глобальные возможности цифрового пространства и свободу коммуникаций.