Навигация
    Круглосуточная линия+7 495 984-33-64Электронная почтаАдрес офисаМосква, 115088, Шарикоподшипниковская, 1, БЦ «Прогресс Плаза», 9 этаж
Сообщить об инциденте

10 октября 2017

Итоги и прогнозы: Group‑IB опубликовала ежегодный отчет о преступлениях в сфере высоких технологий

Group-IB, международная компания по предотвращению и расследованию киберпреступлений на своей ежегодной конференции CyberCrimeCon представила отчет Hi-Tech Crime Trends 2017.

По мнению экспертов, главной опасностью для банков станет не воровство денег, а разрушение их ИТ‑инфраструктуры как финальный этап целенаправленной хакерской атаки. Раньше на банки покушались только киберпреступники, теперь, все чаще, прогосударственные хакеры. Разрушая ИТ‑инфраструктуру, киберпреступники пытаются замести следы, а гос-хакеры — максимизировать ущерб банка и остановить банковские операции. В обоих случаях ущерб для банка может быть даже больше, чем хищение денег.
  • Одним из возможных сценариев диверсии могут быть торги на биржах от имени банка с целью влияния на курсы валют. Это может привести к запуску лавинообразных операций, совершаемых торговыми роботами после резких колебаний валютных курсов.
  • Из 22 новых вредоносных программ для хищений денежных средств 20 (91%) созданы и управляются людьми, говорящими на русском языке.
  • Ущерб от троянов под Android в России вырос на 136% и перекрыл ущерб от троянов для персональных компьютеров на 30%.
  • Хакеры сумели автоматизировать фишинг под банки и платежные системы, фишинг теперь происходит без непосредственного участия киберпреступника в каждой краже. Ежедневно жертвами финансового фишинга в России становится более 900 клиентов банков. В среднем, 10-15% посетителей фишинговых сайтов попадаются на уловку преступников и вводят свои данные.
Хакеры переключают свое внимание с банков на криптоиндустрию (ICO, кошельки, биржи, фонды), где аккумулируется все больше денег. Атаки на такие компании с точки зрения технической реализации не сложнее атак на банки, зато уровень зрелости ИБ в блокчейн-компаниях ниже. В то же время особенности блокчейн-технологий способствуют анонимности и значительно снижают риск быть пойманным при обналичивании.
  • Суммарный ущерб от целевых хакерских атак на криптоиндустрию составил более $168 млн, а доход от атак на критобиржи варьируется от $1,5 (Bitcurex) до $72 млн (Bitfinex), в то время как в результате успешной атаки на банк преступники в среднем зарабатывают всего $1.5 млн.
  • Взломы криптовалютных бирж проводятся по той же схеме, что и целенаправленные атаки на банки — используются схожие, а иногда и идентичные инструменты, а также схожие тактики. Например, злоумышленники получают SIM-карты по поддельным документам для восстановления паролей и получения контроля над счетом в криптовалютных сервисах.
  • Злоумышленники «перенастраивают» популярные банковские трояны, такие как TrickBot, Vawtrak, Qadars, Tinba, Marcher для сбора логинов и паролей пользователей криптовалют. Это говорит о том, что преступники нашли для себя новую, прибыльную нишу и в ближайшее время можно ожидать снижения их активности в традиционной банковской сфере.
  • Повышенный интерес к криптовалютной индустрии неизбежно приведет к тому, что все больше атак будет совершаться не только финансово мотивированными хакерами, но и группировками, спонсируемыми государствами, которые будут пытаться использовать этот новый финансовый инструмент для влияния на мировую экономику.
Хакеры будут успешно атаковать промышленные объекты, потому что научились работать с «логикой» критической инфраструктуры. На таких объектах используются сложные, специфичные ИТ‑системы: даже получив к ним доступ, нужно обладать специальными знаниями о принципах их работы, чтобы вывести объект из строя. За последний год мы видели, что уровень компетенции хакеров вырос, они научились работать с логикой критичной инфраструктуры, и теперь можно прогнозировать новые крупные инциденты.

Хакерская группа BlackEnergy продолжает атаки на финансовые и энергетические компании. Оказавшиеся в их распоряжении инструменты позволяют удаленно управлять Remote terminal unit (RTU), которые отвечают за физическое размыкание/замыкание энергосети. А летом 2017 года были зафиксированы тестовые атаки на энергокомпании Великобритании и Ирландии.

 

Оценка рынка высотехнологичных преступлений

Рост числа атак и сумм хищений является ярким индикатором финансовой активности киберпреступников, изменения их тактики и целей. Большая часть хакеров следует за деньгами. Если они находят новые, более высокооплачиваемые и безопасные способы заработка, то начинают инвестировать именно туда, создавая новые инструменты, услуги, схемы проведения атак.

Оценка рынка высотехнологичных преступлений

Развитие хакерского инструментария

  • Бестелесность и вредоносные скрипты — новый (и теперь уже основной) принцип проведения атак. Хакеры стараются оставаться незамеченными и для этого используют «бестелесные» программы, которые работают только в оперативной памяти и уничтожаются после перезагрузки. Кроме того, скрипты на PowerShell, VBS, PHP помогают им обеспечивать персистентность (закрепление) в системе, а также автоматизировать некоторые этапы атаки.
  • История с NotPetya продемонстрировала, что для захвата контроля над корпоративной сетью достаточно создать шаблон — заскриптовать несколько простых шагов. В будущем стоит ожидать большого количества заскриптованных атак, а также готовых простых инструментов, которые будут автоматически получать контроль над инфраструктурой компании. Появление таких инструментов в открытом доступе или в продаже среди хакеров может привести к лавинообразному росту самых разных атак на корпоративный сектор. В первую очередь мы ожидаем роста инцидентов с шифровальщиками, кражей конфиденциальной информации и вымогательства за неразглашение, хищений денежных средств, публичных разоблачений, проводимых не финансово мотивированными атакующими.
  • В ближайшее время появится больше последователей The Shadow Brokers, и инсайдеров, помогающих WikiLeaks. Мы ожидаем, что авторы вредоносных программ продолжат более активно выкладывать исходные коды своих программ. Кроме того, утечки, публикуемые The Shadow Brokers и их возможными последователями, также будут немедленно применяться на практике для создания и усовершенствования вредоносных программ. Это даст мощный толчок к развитию индустрии кибернападения.

 
Полная версия отчета Hi-Tech Crime Trends 2017

Сообщить об инциденте

Центр круглосуточного реагирования на инциденты
информационной безопасности +7 495 984-33-64

Отправляя форму, даю согласие на обработку своих персональных данных в соответствии с Федеральным законом «О персональных данных» от 27.07.2006 № 152-ФЗ
Спасибо, мы свяжемся с Вами
в самое ближайшее время.
Сообщить об инциденте