23 октября 2020

Group-IB назвала ключевые тенденции киберпреступлений в период пандемии

Group-IB, международная компания, специализирующаяся на предотвращении кибератак, зафиксировала резкий рост числа киберугроз и обозначила основные тенденции компьютерных преступлений в период пандемии COVID-19. Доклад Group-IB был представлен на международном форуме Академии Управления МВД РФ «Стратегическое развитие системы МВД России: состояние, тенденции, перспективы». Главным выводом исследования назван стремительный рост компьютерной преступности, в первую очередь, финансовых мошенничеств с использованием социальной инженерии, а также эксплуатация темы COVID-19 во вредоносных рассылках, переключение операторов вирусов-шифровальщиков на крупные цели, а также активный рекрутинг в преступные сообщества новых участников.

Последствия пандемии COVID-19, перевод сотрудников на удаленный режим работы, сокращение персонала и финансовый кризис вызвали стремительный рост компьютерной преступности. По оценкам аналитиков Group-IB, в первую очередь, выросло число финансовых мошенничеств с использованием методов социальной инженерии. За январь-июнь, по данным МВД, рост киберпреступности составил 91,7% по сравнению с аналогичным периодом прошлого года. При этом число «классических преступлений» снижалось: уличных разбоев стало меньше на 23,6%, грабежей — на 20,7%, краж — на 19,6%, угонов машин — на 28,7%.

Одной из главных тенденций цифровой трансформации в Академии Управления МВД называют развитие дистанционных способов совершения преступлений, при которых отсутствует физический контакт между злоумышленниками и их жертвами — преступления ушли из офлайна в онлайн. Например, если до 2014 года сбыт наркотиков происходил «из рук в руки», то с развитием цифровых технологий наркторговцы стали использовать исключительно электронные торговые площадки в даркнете, принимающие оплату в криптовалюте. Практически 70% зарегистрированных преступлений, связанных с незаконным оборотом оружия в 2020 году совершалось с использованием Интернета — дистанционно и анонимно. То же самое касается, незаконного сбыта поддельных денег, ценных бумаг и документов.

Финансовые мошенничества

На протяжении всего 2020 года Group-IB фиксировала рост числа финансовых мошенничеств с использованием социальной инженерии — вишинга, фишинга — жертвами которых становились, в основном, клиенты банков. Суммарно за 9 месяцев 2020 года CERT-GIB заблокировал 14 802 фишинговых ресурса, нацеленных на хищение денег и персональной информации посетителей сайтов (логины, пароли от аккаунтов и интернет-банков, данные банковских карт). Это больше, чем за прошлый год, когда были заблокированы 14 093 таких веб-ресурсов.

В Академии Управления МВД отмечают, что наиболее распространенным механизмом дистанционного мошенничества с применением техники социальной инженерии является традиционный звонок от «службы безопасности банка» якобы по поводу несанкционированной транзакции или взлома личного кабинета. При этом телефонные мошенники активно использовали технологии, связанные с подменой номеров и SIP-телефонией — звонками через интернет. При использовании анонимайзеров установить реальный IP-адрес злоумышленника довольно затруднительно. Появление в последнее время сервисов «по пробиву» клиентов банков, построенных на комбинировании методов OSINT и инсайдерского доступа к различным базам данных, увеличило объем информации о потенциальных жертвах, доступной для злоумышленников, и привело к увеличению количества атак.

При этом сами схемы реализации мошенничества фактически не изменились. Основной мотив киберпреступников — прежний: кража денег или информации, которую можно продать, но они приобрели новую «упаковку», адаптированную под актуальную повестку. Это продажа фейковых цифровых пропусков, рассылка сообщений о штрафах за нарушение карантина, липовые сайты курьерских служб, мошеннические рассылки от имени сервиса видеоконференций Zoom.

На протяжении всего 2020 года Group-IB наблюдала активный набор в преступные мошеннические сообщества. Порог входа существенно снизился: новых участников привлекают через Telegram-каналы и хакерские форумы с последующим обучением, и вступительными бонусами. В „серой зоне“ тоже быстро подстроились под требования рынка, так „билетная мафия“ переориентировала свои ресурсы на доставку продуктов питания и лекарств по завышенным ценам.

Андрей Колмаков

Андрей Колмаков

Руководитель департамента расследований инцидентов информационной безопасности Group-IB

По словам эксперта, активно развивался и рынок криминальных услуг cybercrime-as-a-service, связанных со сдачей в аренду компьютерных сетей, зараженных вредоносным программным обеспечением (ботнетов) и используемых, например, при организации DDoS-атак, рассылке фишинговых писем и предоставлении proxy-серверов. Так же как и предложения по взлому мессенджеров и соцсетей, эти услуги рекламируются в Telegram и на хакерских форумах.

Атаки через почту и «Охота на крупную дичь»

В период пандемии электронная почта по-прежнему оставалась одним из основных векторов атак.

Злоумышленники адресно атаковали переведенных на удаленку сотрудников, заражая их компьютеры вредоносными программами, через которые затем получали доступ в корпоративную сеть. Чаще всего перехваченные вредоносные рассылки, замаскированные в том числе и под сообщения о COVID-19, несли на борту» вложения с программами-шпионами или ссылки, ведущие на их скачивание, бэкдоры и загрузчики, которые впоследствии использовались для установки других вредоносных программ, в том числе банковских троянов или вирусов-шифровальщиков.

Валерий Баулин

Валерий Баулин

Руководитель Лаборатории компьютерной криминалистики Group-IB

Популярность последних не случайна. В 2020 году подавляющее большинство преступных групп переключилось на работу с программами-шифровальщиками — злоумышленники поняли, что с их помощью можно заработать не меньше, чем в случае успешной атаки на банк, а техническое исполнение — значительно проще.

Текущий год дал жизнь еще большему количеству групп и партнерских программ, а также новым коллаборациям. Так операторы банковского трояна QakBot присоединились к "охоте за крупной дичью«(Big Game Hunting — атаки на крупные компании с целью получения значительного выкупа), воспользовавшись помощью криптолокера ProLock, а еще недавно активно атаковавшая банки и отели группа FIN7 присоединилась к партнерской программе вымогателя REvil. Размер выкупа также значительно увеличился: операторы криптолокеров нередко просят несколько миллионов долларов, а иногда — и несколько десятков миллионов. Несмотря на негласный запрет у киберпреступников «не работать по РУ», обнаруженная в 2020 году Group-IB группа OldGremlin, состоящая из русскоязычных хакеров, активно атакует исключительно российские компании — банки, промышленные предприятия, медицинские организации и разработчиков софта.

Вопросы цифровой трансформации современной преступности являются, пожалуй, наиболее злободневными в повестке, но универсальных подходов, позволяющих эффективно противодействовать высокотехнологичной преступности, не выработано ни одним государством мира. Очевидно, что обозначенный тренд на дальнейшую цифровизацию криминальной деятельности будет в обозримом будущем оказывать определяющее воздействие на деятельность правоохранительных органов, включая МВД России, которое стоит на переднем краю борьбы с преступностью. От того, насколько эффективно правоохранительная система сможет противостоять этому вызову, зависит состояние правопорядка и защищенности прав и интересов граждан.

Юрий Гаврилин

Юрий Гаврилин

Врио начальника кафедры управления органами расследования преступлений Академии управления МВД России

Group-IB — один из ведущих разработчиков решений для детектирования и предотвращения кибератак, выявления фрода и защиты интеллектуальной собственности в сети. Система сбора данных о киберугрозах Group-IB Threat Intelligence & Attribution признана одной из лучших в мире по версии Gartner, Forrester, IDC.

В основе технологического лидерства компании – 17-летний опыт расследования киберпреступлений по всему миру и более 65 000 часов реагирования на инциденты ИБ, аккумулированные в крупнейшей в Восточной Европе Лаборатории компьютерной криминалистики и круглосуточном центре оперативного реагирования CERT-GIB.

Group-IB — партнер Interpol и Europol, поставщик решений в сфере кибербезопасности, рекомендованный SWIFT и ОБСЕ. Group-IB – компания-участник Всемирного экономического форума.

>

Сообщить об инциденте

Центр круглосуточного реагирования на инциденты
информационной безопасности +7 495 984-33-64

Отправляя форму, даю согласие на обработку своих персональных данных в соответствии с Федеральным законом «О персональных данных» от 27.07.2006 № 152-ФЗ
Спасибо, мы свяжемся с Вами в самое ближайшее время
Сообщить об инциденте