Выбрать страницу

В начале декабря на международной конференции CyberCrimeCon был представлен традиционный отчет Group-­IB “Hi­-Tech Crime Trends”, посвященный анализу актуальных киберугроз для бизнеса и государственного сектора за период со второй половины 2020 по первое полугодие 2021 года. На этот раз отчет вышел в пяти томах, каждый из которых детально исследует различные аспекты киберкриминальной индустрии: рынок программ-­вымогателей, продажи доступов в сети компаний, атаки прогосударственных хакерских групп (APT), угрозы для финансового сектора, а также скам и фишинг. Содержащиеся в отчетах “Hi­-Tech Crime Trends” прогнозы и рекомендации, по словам CEO Group­-IB Дмитрия Волкова, направлены на сокращение финансовых потерь, простоев инфраструктуры и принятие превентивных мер по противодействию целевым атакам, шпионажу и кибертеррористическим операциям.

Киберугроза № 1

Оценивая киберугрозы, которые нанесли наибольший ущерб организациям финансового сектора и их клиентам за период со второй половины 2020 по первое полугодие 2021 года, специалисты Group­-IB выделили и проанализировали наиболее серьезную проблему для бизнеса, киберугрозу № 1 — программы-­вымогатели.

Только в России количество их атак в 2021 году увеличилось на 200%. Суммы выкупов, которые требовали операторы шифровальщиков от своих жертв — международных компаний, огромны — некоторые доходили до $50–70 млн, около 30% атакованных компаний выплачивают выкуп злоумышленникам. Среди программ-­вымогателей на первое место по проведенным атакам вышли Conti (16,5%), за ними Lockbit (11,5%) и Avaddon (7,5%). Группа Maze — лидер прошлого года — прекратила свое существование.

Прогноз Group­-IB: количество скомпрометированных данных компаний, обнародованных на публичных ресурсах программ­вымогателей, будет расти. При этом основные атакуемые шифровальщиками отрасли, скорее всего, не изменятся — промышленность, недвижимость и транспорт, так как они наиболее монетизируемые для злоумышленников.

Доступ разрешен

Феноменальный рост программ-­вымогателей неразрывно связан с другим трендом — увеличением количества продавцов доступов в скомпрометированные сети. Общий объем этого рынка составил $7 165 876, что на 16% больше, чем за прошлый период ($6 189 388). Подобные доступы могут использоваться как для проведения целевых атак, так и для распространения шифровальщиков и прочего вредоносного программного обеспечения. Суммарное количество доступов, выставленных за период со второй половины 2020 по первое полугодие 2021 года, составляет 1099, в том числе 95 фактов продажи доступов в компании финансового сектора. Чаще всего доступ предлагали в американские банки и финансовые организации.

Прогноз Group­IB: количество продаваемых доступов в финансовые компании увеличится. Это произойдет из-­за роста рынка продажи доступов. Как следствие — вырастет и число атак программ-­вымогателей на банки и финансовые компании.

Возвращение MoneyTaker

После трехлетнего перерыва в России вновь стали актуальны атаки на АРМ КБР — автоматизированное рабочее место клиента Банка России. В феврале 2021 года специалисты лаборатории компьютерной криминалистики Group-­IB были привлечены к реагированию на инцидент в одном из российских банков, где атакующие смогли получить доступ к системе межбанковских переводов АРМ КБР. Изучив тактики, техники и процедуры (TTPs) киберпреступников, эксперты Group-­IB предположили, что за атакой может стоять преступная группа MoneyTaker. Напомним, что в 2016–2019 годах именно эта группа совершала атаки на АРМ КБР и системы карточного процессинга в Великобритании, Гонконге, США, Украине и России.

Прогноз Group-­IB: после успешной атаки на российский банк MoneyTaker на этом не остановятся и будут продолжать атаковать АРМ КБР. При этом риск повторения подобных атак не столь высок, как в 2017­2018 годах, когда целевые атаки на банки проводились ежемесячно. Реальной угрозой для банковского сектора в будущем являются атаки операторов программ­шифровальщиков.

Кардинг сжимается

Объем мирового рынка кардинга (продажи в андеграунде украденных данных банковских карт в виде дампов или текста) за исследуемый период уменьшился на 26% — с $1,9 млрд до $1,4 млрд. Это объясняется сокращением количества дампов (содержимое магнитных полос банковских карт) в продаже на 17% — до 58 млн — из­за закрытия крупнейшего кардшопа Joker’s Stash. Рынок кардинга в России и СНГ впервые сжался на 77%, составив всего $270935 за отчетный период (со второй половины 2020 по первое полугодие 2021 года) против $1210491 в прошлом периоде (со второй половины 2019 по первое полугодие 2020 года). А общее количество данных банковских карт, выложенных на продажу в даркнете и атрибутируемых к банкам России и СНГ, сократилось на 60% — с 34 816 до 13 799.

Прогноз Group-­IB: кардинг станет менее привлекательным для киберпреступников. После закрытия множества кардшопов эксперты Group-­IB ожидают, что количество продаж банковских карт будет постепенно снижаться. Прежде всего это коснется продаж дампов.

Угроза для онлайн-ретейла

Количество обнаруженных семейств JS-­снифферов за отчетный период выросло до 98, из них активными были 42 семейства. Наибольшую опасность JS-­снифферы представляют для компаний сферы онлайн-­торговли: за прошедший год с их помощью было скомпрометировано более 80 000 банковских карт клиентов онлайн­-магазинов.

Прогноз Group­IB: JS-­сниф­феры останутся основной угрозой для онлайн­ретейла. Особенно это касается небольших американских бизнесов, работающих под управлением CMS Magento, OpenCart. При этом основные риски будут связаны со штрафами за нарушение безопасности, а не с возмещением ущерба клиентам или репутационными потерями. Семейство снифферов Inter останется самым распространенным.

Скам и фишинг

Широкое распространение в отчетном периоде получили фишинговые и мошеннические партнерские программы (Scam­as­a‑service, Phishing­as­a‑service). Изначально они были ориентированы на Россию и страны СНГ. Сейчас в поле зрения специалистов Group­IB все чаще попадают «партнерки», нацеленные на европейские, азиатские, ближневосточные и американские компании. Известно о 71 бренде из 36 стран, под которые создают и распространяют фишинг участники таких «партнерок». Среди наиболее атакуемых: маркетплейсы (69,5%), сервисы доставки (17,2%), райдшеринг (сервисы по совместному использованию авто для поездок) — 12,8% и другие.

Прогноз Group-­IB: вырастет количество фишинговых и мошеннических партнерских программ. В будущем злоумышленники начнут активнее развивать фишинговые партнерки под финансовый сектор. Такой вид мошенничества может стать более высокотехнологичной заменой звонков от фейковых кол­центров. Увеличится и количество фишинговых фреймворков — это произойдет в том числе потому, что банки все чаще внедряют многофакторную аутентификацию. Мессенджер Telegram станет самым по­пулярным способом для получения злоумышленниками скомпрометированных данных с фишинговых сайтов.

Остается добавить, что Hi­-Tech Crime Trends открывает доступ к максимально полному набору стратегических данных и подробной информации об актуальных киберугрозах в мире как организациям, которые борются с киберпреступностью, так и потенциальным жертвам. Команда Group­-IB убеждена в том, что постоянный обмен данными, создание и развитие партнерских отношений между частными компаниями и международными правоохранительными органами — эффективный путь борьбы с киберпреступностью. Осознанное отношение к кибербезопасности поможет сохранить и защитить глобальные возможности цифрового пространства и свободу коммуникаций.