РУССКИЙ
РУССКИЙ
ENGLISH
27.12.2017

Атаки вирусов-шифровальщиков, утечки хакерских инструментов американских спецслужб, проверка на прочность объектов энергетики, удары по ICO и первая успешная кража денег из российского банка с системой SWIFT — уходящий 2017 год был полон неприятных сюрпризов. Не все оказались к ним готовы. Скорее, наоборот. Киберпреступность становится быстрее и масштабнее. Прогосударственные хакеры — уже не только шпионы, они крадут деньги и устраивают кибердиверсии.
Любое противодействие киберугрозам - это всегда соревнование брони и снаряда. И события этого года показали, что многие компании и даже государства уступают киберпреступникам. Потому что не знают, кто враг, как он действует и где надо ждать следующего удара. Большинство атак нужно предотвращать еще на этапе их подготовки при помощи технологий раннего предупреждения Threat Intelligence. Быть на несколько шагов впреди киберпреступников, значит сохранить свои деньги, информацию и репутацию.
Вирусы-шифровальщики
Самыми масштабными, как с точки зрения распространения, так и ущерба в 2017 году стали кибератаки с использованием вирусов-шифровальщиков. За ними стоят прогосударственные хакеры. Вспомним их поименно.
Последствия атаки WonnaCry: супермаркет "Рост", Харьков, Украина.
WannaCry
Всего за три майских дня 2017 года вирус-шифровальщик WannaCry атаковал 200 000 компьютеров в 150 странах мира. Вирус прошелся по сетям университетов в Китае, заводов Renault во Франции и Nissan в Японии, телекоммуникационной компании Telefonica в Испании и железнодорожного оператора Deutsche Bahn в Германии. Ущерб оценили в $1 млрд. За атакой, вероятнее всего, стоит северокорейская группа Lazarus. Подробнее про WannaCry можно почитать здесь: https://www.group-ib.ru/blog/wannacryptor
Lazarus (известна также как Dark Seoul Gang) — имя северокорейской группы хакеров, за которыми, предположительно, стоит Bureau 121 — одно из подразделений Разведывательного Управления Генштаба КНА (КНДР), отвечающего за проведение киберопераций. Хакеры из северокорейской группы Lazarus долгие годы шпионили за идеологическими врагами режима — госучреждениями и частными корпорациями США и Южной Кореи. Теперь Lazarus атакует банки и финансовые учреждения по всему миру: на их счету попытка украсть в феврале 2016 года почти $1 млрд из центрального банка Бангладеш, атаки на банки Польши, а также сотрудников ЦБ РФ, ЦБ Венесуэлы, ЦБ Бразилии, ЦБ Чили и попытка вывести из Far Eastern International Bank $60 млн (см раздел "Целевые атаки на банки"). В конце 2017 года северокорейские хакеры были замечены в атаках на криптовалютные сервисы и атаках с использованием мобильных троянов.
Тренд года
NotPetya
27 июня на Украине была зафиксирована масштабная кибератака с использованием новой модификация локера-шифровальщика NotPetya, который частично зацепил компании в России, США, Индии, Австралии и др. Датский логистический гигант Moller-Maersk потерял из-за вируса шифровальщика от $200 млн до $300 млн. За атакой, возможно, стоит группа Black Energy. Подробнее: https://www.group-ib.ru/blog/petya.
BadRabbit
24 октября на Украине и в России произошла масштабная кибератака с использованием вируса-шифровальщика «BadRabbit». Вирус атаковал компьютеры и серверы Киевского метрополитена, Министерства инфраструктуры, Международного аэропорта "Одесса". Несколько жертв оказались и в России — в результате атаки пострадали редакции федеральных СМИ, а также были зафиксированы факты попыток заражений банковских инфраструктур. За атакой, как установила Group-IB, стоит группа Black Energy. https://www.group-ib.ru/blog/badrabbit
Целевые атаки на банки
Преступные группы, атаковавшие российские банки, весной и летом 2017 года переключили свое внимание на другие страны и регионы: США, Европа, Латинская Америка, Азия и Ближний Восток. В конце года они снова заработали в России.
В 2017 году у прогосударственных хакеров изменились цели — они стали проводить кибердиверсии на финансовый сектор. Для шпионажа или кражи денег взломщики стараются получить доступ к SWIFT, карточному процессингу. Весной этого года группа BlackEnergy взломала интегратора на Украине и получила доступ в сеть украинских банков. Через пару месяцев началась эпидемия WannyCry и NotPetya, за которыми стоят группы Lazarus и BlackEnergy.

Тем не менее, к началу октября, когда команда Group-IB сдавала ежегодный отчет, мы были полны сдержанного оптимизма: целенаправленные атаки на банки в России упали на 33%. Все преступные группы, атаковавшие российские банки, постепенно переключили свое внимание на другие страны и регионы: США, Европа, Латинская Америка, Азия и Ближний Восток. Конец года подпортил статистику — мы зафиксировали целый ряд кибератак на банки, в декабре произошла первая успешная атака на российский банк со SWIFT в исполнении группы Cobalt.
Атаки на SWIFT
В октябре ограбили банк Far Eastern International Bank Тайваня. Добравшись до системы международных межбанковских переводов (SWIFT), к которой был подключен банк, хакеры смогли вывести почти $60 миллионов на счета в Шри-Ланке, Камбодже и США. За атакой, предварительно, стоит группа Lazarus. В ноябре крупнейший негосударственный банк Непала NIC Asia Bank подвергся целенаправленной атаке киберпреступников, которые получили доступ к системе SWIFT и вывели $4,4 млн на счета в США, Великобритании, Японии и Сингапуре.

В середине декабря стало известно об успешной атаке на российский банк с использованием SWIFT (международная система передачи финансовой информации). Напомним, что раньше в России целевые атаки проходили с использованием систем карточного процессинга, банкоматов и АРМ КБР (автоматизированное рабочее место клиента банка России).

К атаке, вероятно, причастна группировка Cobalt. Проникновение в банк произошло через вредоносное ПО, которое рассылалось группировкой несколько недель назад по банкам — такой способ атаки характерен для Cobalt. СМИ сообщали, что преступники попытались украсть около $1 млн, но удалось вывести около 10%. FinCERT, структурное подразделение ЦБ по информбезопасности, в своем отчете назвал группу Cobalt главной угрозой для кредитных организаций.

По данным Group-IB, на счету группировки не менее 50 успешных атак на банки по всему миру: в России, Великобритании, Нидерландах, Испании, Румынии, Белоруссии, Польши, Эстонии, Болгарии, Грузии, Молдавии, Киргизии, Армении, Тайване и Малайзии. Все лето и осень они атаковали банки по всему миру, тестировали новые инструменты и схемы, и под конец года не снизили обороты — практически каждую неделю мы фиксируем их почтовые рассылки с вредоносными программами внутри.
Бестелесность и вредоносные скрипты — новый (и теперь уже основной) принцип проведения атак. Хакеры стараются оставаться незамеченными и для этого используют «бестелесные» программы, которые работают только в оперативной памяти и уничтожаются после перезагрузки. Кроме того, скрипты на PowerShell, VBS, PHP помогают им обеспечивать персистентность (закрепление) в системе, а также автоматизировать некоторые этапы атаки. Еще мы замечаем, что хакеры атакуют банки не в лоб, а через доверенных партнеров - интеграторов, подрядчиков. Они атакуют сотрудников, когда те находятся дома, проверяют личную почту, соцсети
Тренд года
Открытие года: MoneyTaker
В декабре Group-IB выпустил отчет про группу MoneyTaker, хакеров-невидимок, которые за 1,5 года атаковали 20 банков и компаний в США, России и Великобритании. Долгое время им удавалось оставаться незамеченными, группировка использовала общедоступные инструменты, целенаправленно скрывали любые элементы атрибуции, всегда уничтожала следы после атаки. Один раз им даже удалось дважды атаковать один американский банк. Главная цель MoneyTaker — карточный процессинг и системы межбанковских переводов. В США средний ущерб от одной атаки составляет $500 000. В России средний объем выведенных средств – 72 млн. рублей. Подробнее: https://www.group-ib.ru/blog/moneytaker

10 интересных фактов про MoneyTaker

  • Их жертвой становились небольшие банки — в России региональные, в США —комьюнити-банки с невысоким уровнем защиты. В один из российских банков хакеры проникли через домашний компьютер сисадмина.
  • Один из американских банков взломали аж дважды.
  • Совершив успешную атаку, продолжали шпионить за сотрудниками банка с помощью пересылки входящих писем на адреса Yandex и Mail.ru.
  • Эта группировка всегда уничтожала следы после атаки.
  • Деньги из одного российского банка пытались вывести через банкоматы, но они не работали —у их владельца незадолго до этого ЦБ забрал лицензию. Вывели деньги через АРМ КБР.
  • Похищали не только деньги, но и внутренние документы, инструкции, регламенты, журналы транзакций. Судя по украденным документам, связанным с работой SWIFT, хакеры готовят атаки на объекты в Латинской Америке.
  • В некоторых случаях хакеры вносили изменения в код программы «на лету» — прямо во время проведения атаки.
  • Взломщики использовали файл SLRSideChannelAttack.exe., который был выложен в публичный доступ исследователями.
  • MoneyTaker использовали общедоступные инструменты, целенаправленно скрывали любые элементы атрибуции, предпочитая оставаться в тени. Автор у программ один — это видно по типичным ошибкам, которые кочуют из одной самописной программы в другую.
Утечки хакерских инструментов спецслужб
Эксплойты из утечек АНБ и ЦРУ стали активно использоваться для проведения целенаправленных атак. Они уже включены в основные инструменты для проведения тестов на проникновения финансово мотивированных и некоторых прогосударственных хакеров.

WikiLeaks и Vault7
Весь год WikiLeaks методично раскрывал секреты ЦРУ, публикуя в рамках проекта Vault 7 информацию о хакерских инструментах спецслужб. Один из них — CherryBlossom («Вишневый цвет») позволяет отслеживать местонахождение и интернет-активность пользователей, подключенных к беспроводному роутеру Wi-Fi. Такие устройства повсеместно используются в домах, офисах, ресторанах, барах, гостиницах, аэропортах и госучреждениях. WikiLeaks даже раскрыл технологию шпионажа ЦРУ за коллегами из ФБР, МВБ, АНБ. Управление технических служб (OTS) в ЦРУ разработало шпионское ПО ExpressLane для тайного извлечения данных из биометрической системы сбора информации, которую ЦРУ распространяет своим коллегам из разведсоуобщества США. Чуть раньше WikiLeaks раскрыла информацию о вредоносной программе Pandemic, предназначенной для взлома компьютеров с общими папками, и о программе ELSA, которая также отслеживает геолокацию устройств с поддержкой Wi-Fi и позволяет отслеживать привычки пользователя. Wikileaks начал серию публикаций Vault-7 в феврале 2017 года. Утечки содержали информацию с описанием уязвимостей в программном обеспечении, образцами вредоносных программ и техниками проведения компьютерных атак.
Shadow Brokers
Хакерские инструменты из другого не менее популярного источника — утечки АНБ, которые публикует группа Shadow Brokers, не только пользовалась повышенным спросом, но еще совершенствовалась и дорабатывалась. На андеграундных форумах появился скрипт для автоматизации поиска машин с уязвимостью SMB- протокола, основанный на утилитах американских спецслужб опубликованных группировкой Shadow Brokers в апреле этого года. В результате утечки утилита fuzzbunch и эксплойт ETERNALBLUE оказались в открытом доступе, но после проведенной доработки полностью готовый продукт упрощает злоумышленникам процесс атаки.

Напомним, что именно SMB-протокол использовался шифровальщиком WannaCry для заражения сотен тысяч компьютеров в 150 странах мира. Месяц назад создатель поисковой системы Shodan Джон Мазерл (John Matherly) заявил, что в Сети обнаружено 2 306 820 устройств с открытыми портами для доступа по SMB-протоколу. 42% (около 970 тыс.) из них предоставляют гостевой доступ, то есть любой желающий с помощью протокола SMB может получить доступ к данным без авторизации.

Летом группа Shadow Brokers пообещала каждый месяц публиковать для своих подписчиков новые эксплойты, в том числе для роутеров, браузеров, мобильных устройств, скомпрометированные данные из банковских сетей и SWIFT, информацию о ядерных и ракетных программах. Вдохновленные вниманием Shadow Brokers подняли первоначальную стоимость подписки со 100 монет Zcash (около $30 000) до 200 монет Zcash (около $60 000). Статус VIP- подписчика стоит 400 монет Zcash и позволяет получать эксплойты под заказ.
Атаки на критическую инфраструктуру
Энергетический сектор стал тестовым полигоном для исследования нового кибероружия. Преступная группа BlackEnergy продолжает атаки на финансовые и энергетические компании. Оказавшиеся в их распоряжении инструменты позволяют удаленно управлять Remote terminal unit (RTU), которые отвечают за физическое размыкание/замыкание энергосети.
Первым вирусом, который реально смог вывести оборудование из строя, был Stuxnet, используемый Equation Group (Five Eyes/Tilded Team). В 2010 году вирус проник в систему иранского завода по обогащению урана в Натане и поразил контроллеры SIMATIC S7 Siemens, вращавшие центрифуги с ураном с частотой 1000 оборотов секунду. Stuxnet разогнал роторы центрифуг до 1400 оборотов, да так что они начали вибрировать и разрушаться. Из 5 000 центрифуг, установленных в зале, из строя были выведены около 1000 штук. Иранская ядерная программа на пару лет откатилась назад.

После этой атаки несколько лет наблюдалось затишье. Оказалось, что все это время хакеры искали возможность влиять на ICS и выводить их из строя, когда это будет необходимо. Дальше других в этом направлении продвинулась группа Black Energy, также известная как Sandworm.

Их тестовая атака на украинскую подстанцию в конце прошлого года показала, на что способен новый набор инструментов, получивший название Industroyer или CRASHOVERRIDE. На конференции Black Hat ПО Industroyer было названо «самой большой угрозой промышленным системам управления со времен Stuxnet». Например, инструменты BlackEnergy позволяют удаленно управлять Remote terminal unit (RTU), которые отвечают за физическое размыкание/ замыкание энергосети. Вооружилась такими инструментами, хакеры что могут превратить его в грозное кибероружие, которое позволит оставлять без света и воды целые города.

Проблемы могут возникнуть не только на Украине: новые атаки на энергосистемы в июле были зафиксированы в Великобритании и Ирландии. Сбоев в работе энергосетей не было, но, как полагают эксперты, хакеры могли похитить пароли к системам безопасности. В США после рассылки сотрудникам энергетических компаний вредоносных писем ФБР предупредило компании о возможных кибератаках.
Атаки на ICO
Долгое время банки и их клиенты были главной целью киберпреступников. Но теперь у них сильный конкуренты в лице ICO и блокчейн-стартапов — все, что связано с криптовалютами привлекает внимание хакеров.
ICO (Initial Coin Offering — процедура первичного размещения токенов) – мечта любого хакера. Молниеносная, зачастую довольно простая атака на криптовалютные сервисы и блокчейн-стартапы приносит миллионы долларов прибыли с минимальным риском для преступников. По данным Chainalysis, хакерам удалось украсть 10% всех средств, инвестированных в ICO-проекты в 2017 году в Ethereum. Общий ущерб составил почти $225 миллионов, 30 000 инвесторов лишились в среднем по $7500.

Мы проанализировали около сотни атак на блокчейн-проекты (биржи, обменники, кошельки, фонды) и пришли к выводу, что основная масса проблем кроется в уязвимости самих криптосервисов, использующих технологию блокчейна. В случае с Ethereum проблемы наблюдались не у самой платформы, а у криптосервисов: они столкнулись с уязвимостями в собственных смарт-контрактах, deface, компрометацией админских аккаунтов (Slack, Telegram), фишинговыми сайтами, копирующими контент сайтов компаний, выходящих на ICO.

Есть несколько уязвимых мест:

  • Фишинговые сайты – клоны официального ресурса
  • Уязвимости сайта / веб-приложения
  • Атаки через сотрудников компании
  • Атаки на IT-инфраструктуру

Нас очень часто спрашивают, на что обращать внимание, что проверять в первую очередь? Есть три больших блока, на которые надо обратить внимание: защитить людей, защитить процессы и защитить инфраструктуру.
Кражи денег с помощью Android-троянов
Рынок банковских Android-троянов оказался самым динамичным и быстро растущим. Ущерб от банковских троянов под Android в России вырос на 136 % — он составили $13,7 млн. — и перекрыл ущерб от троянов для персональных компьютеров на 30%.
Мы предсказывали этот рост еще в прошлом году, поскольку заражения вредоносным ПО становятся незаметнее, а хищения автоматизируются при помощи метода автозалива. По нашим оценкам, ущерб от этого вида атак в России за прошедший год составил $13,7 млн.

В апреле 2017 года был задержан последний участник группировки Cron, похищавшей деньги с банковских счетов пользователей смартфонов с ОС Android. Ежедневно киберпреступники с помощью банковского трояна «Cron» заражали 3500 телефонов и меньше чем за год установили его почти на 1 млн устройств. Общий ущерб от действий Cron оценивается, как минимум, в 50 млн рублей. Этот кейс — один из ярких примеров успешного взаимодействия Group-IB и МВД. Подробнее: https://www.group-ib.ru/blog/cron
Задержание участников преступной группы Cron
Кражи в интернет-банкинге у компаний, клиентов банков
В России остались только три преступных группы, которые похищают деньги у юридических лиц: Ranbyus, RTM, Buhtrap.
Мы зафиксировали снижение хищений в интернет-банкинге у юридических лиц (-35%). За прошедший год мы оценили ущерб по России в $10 млн. Количество преступных групп, которые специализировались на хищениях у юридических лиц в России ( и, как следствие, количество атак) уменьшилось практически в два раза по сравнению с прошлым периодом. В России остались только три преступных группы, которые похищают деньги у юридических лиц: Ranbyus, RTM, Buhtrap.

В этом году им удалось похитить только 622 миллиона рублей, а в прошлом 956 миллионов. Однако снижение составило лишь -35%, поскольку средний размер ущерба увеличился до 1,25 миллионов рублей. Это свидетельствует о том, что атакующие стали более тщательно подбирать жертв. Летом мы обнаружила масштабное заражение пользователей банковским трояном Buhtrap через популярные СМИ, сайты для бухгалтеров, юристов и директоров. Наша система Threat Intelligence фиксирует, как уже многие годы киберпреступники используют для заражения они и те же ресурсы, но их администрация не закрывает "дыры". Наплевательское отношение к безопасности способствует распространению вирусов и кражам денег у пользователей. Ущерб от одной подобной атаки на компанию в среднем составляет 3-10 млн рублей. Подробнее: https://www.group-ib.ru/blog/buhtrap


Пример объявления на подпольном хакерском форуме о продаже доступа к сайту Glavbukh в 2012 году.
Прогнозы от Group-IB:
  1. Атаки WannaCry, NotPetya, BadRabbit, организованные , вероятно, прогосударственными хакерами, показали всему миру, насколько легко сделать эффективный шифровальщик. Ни одна из группировок, ориентированных на кражу денег, еще не проводила атаки таким образом. Масштаб бедствия, скорость заражения и ущерб, нанесенный жертвам, наверняка приведут к появлению подражателей и новым атакам со стороны традиционной киберпреступности. Изменив вектор первичного попадания в сеть, они могут нанести значительно больший ущерб.
  2. После успешных атак на энергетические сети появятся подражатели — они начнут проводить схожие атаки. Мы ожидаем, что основными задачами злоумышленников станут, в первую очередь, не нарушение работоспособности сетей, а сбор информации об инфраструктуре и программном обеспечении предприятий для дальнейшего развития наступательного кибероружия.
  3. Если раньше финансовые учреждения опасались взломщиков-грабителей, то теперь новой и более серьезной для них угрозой могут стать хакеры, финансируемые различными государствами. Их целью станет слежка за финансовыми потоками, сбор компромата на интересующих их клиентов банков, а также нарушение работоспособности внутренней инфраструктуры. Последнее особенно актуально для стран, выдвигающих взаимные обвинения о нападении в кибер-пространстве — диверсии могут использоваться как ответная мера.
  4. Ущерб от хищений с помощью банковских Android-троянов в России уже превысил ущерб от банковских троянов для персональных компьютеров. Мы ожидаем, что аналогичная ситуация будет и в других странах, где высоко проникновение мобильных банковских услуг.
  5. Появление исходных кодов банковских троянов в открытом доступе приведет к росту числа атак на финансовый сектор.
  6. Целевых атак на криптовалютные сервисы будет больше. Кроме Android-троянов для атак на пользователей криптовалют будут активно использоваться трояны для персональных компьютеров. Фишинг под криптовалютные сервисы станет основной проблемой для их пользователей. Постоянные успешные атаки будут негативно влиять на доверие к отдельно взятым сервисам до тех пор, пока они не повысят свою безопасность и не начнут активную борьбу с финишном.
  7. Целенаправленные атаки на биржи криптовалют будут проводиться не только традиционной киберпреступностью, но и хакерами, финансируемыми государством.