2 декабря 2021

Эскалация киберугрозы: Group-IB проанализировала ключевые тренды развития киберпреступности

Компания Group-IB, один из лидеров в сфере кибербезопасности, провела масштабное исследование андеграундного рынка, выявив ключевые очаги распространения угроз для бизнеса и государственного сектора. В отчете Hi-Tech Crime Trends аналитики фиксируют сращивание киберкриминальных групп в рамках поставленных на поток партнерским программ. Их используют шифровальщики, продавцы доступов в скомпрометированные сети, мошенники, занимающиеся фишингом и скамом. Эти альянсы приводят к эскалации угроз и новым жертвам киберпреступности в мире.

Отчет Hi-Tech Crime Trends презентуется в рамках конференции CyberCrimeCon в течение 10 лет и исследует разные аспекты киберкриминальной индустрии, анализирует атаки и прогнозирует изменение ландшафта угроз для различных отраслей экономики.

Сегодня мы по традиции представили наш новый отчет Hi-Tech Crime Trends на конференции CyberCrimeCon, но в этом году эксперты Group-IB впервые разбили отчет на пять томов, детально исследовав наиболее опасные киберугрозы в мире: "Продажа доступов", "Империя шифровальщиков", "Угрозы для финсектора", "Военные операции", "Фишинг и скам", каждый из которых будет последовательно опубликован до конца года. Прогнозы и рекомендации Hi-Tech Crime Trends направлены на сокращение финансовых потерь и простоев инфраструктуры, а также для риск-менеджмента и принятия превентивных мер по противодействию целевым атакам, шпионажу и кибертеррористическим операциям.

Дмитрий Волков

Дмитрий Волков

CEO Group-IB

«Империя шифровальщиков»: инструменты давления на жертв и RaaS

Используя систему Group-IB Threat Intelligence & Attribution для сбора исторических данных, в том числе, удаленных с андеграундных ресурсов злоумышленниками, эксперты Group-IB провели глубокий анализ развития рынка шифровальщиков, охватывающий более чем 10-летний период.

Катализатором успеха программ-вымогателей — только в России количество их атак в 2021 году увеличилось на 200% — стали альянсы операторов шифровальщиков с продавцами доступов в скомпрометированные сети компаний в рамках партнерских программ Ransomware-as-a-Service (RaaS).

Несмотря на «протесты» ряда администраторов андеграундных форумов «No more ransom!», за анализируемый период (H2 2020 — H1 2021) здесь появилась 21 новая партнерская программа — это на 19% больше, чем в прошлом периоде. Всего же с 2020 по 2021 год были опубликованы 34 новые «партнерки» вымогателей, в которые активно вступали профессиональные пентестеры (Initial Access Brokers) — они взламывали сети компаний для последующей перепродажи полученного доступа или участия в партнерских программах за процент от выкупа.

Пика достигло применение вымогателями Data Leak Site (DLS) — сайтов в даркнете, используемых в качестве дополнительного рычага давления на жертву, чтобы заставить ее заплатить выкуп под угрозой обнародования похищенных данных в публичном доступе.

Количество новых DLS выросло более, чем вдвое с 13 до 28 за период H2 2020 — H1 2021 по сравнению с H2 2019 — H1 2020. На них были выставлены данные 2 371 компании, ставшей жертвами операторов программ-вымогателей. Рост по сравнению с прошлым периодом, когда были выставлены данные 229 жертв, составил беспрецедентные 935%.

Таким образом, за весь 2020 год — данные 1 335 компаний-жертв шифровальщиков были опубликованы на DLS, а уже за первые три квартала 2021 года — 1 966, то есть на 47% больше, чем за весь прошлый год.Если учесть, что на DLS выкладываются данные только 10% атакованных компаний, это означает, что их количество в десятки раз больше. При этом около 30% жертв предпочитают платить выкуп.

В 2021 году самой агрессивной группой, использующей DLS, стала Conti, выложившая данные 361 компании-жертвы, что составляет 16,5% в общем объеме. За ней идет Lockbit (251 жертва), Avaddon (164), REvil (155) и Pysa (118). В прошлом году топ-5 выглядел иначе: Maze (259), Egregor (204), Conti (173), REvil (141) и Pysa (123).

В целом по миру, согласно анализу DLS, большинство жертв программ-шифровальщиков приходится наСША (49,2%) и Канаду (5,6%). За ними идет Франция (5,2%), сменившая на этом месте Великобританию. Распределение по наиболее атакуемым индустриям вывело на первое место производство (9,6%), за ним недвижимость (9,5%) и транспорт (8,2%). Шифровальщики, атаковавшие на территории постсоветского пространства, наиболее активными из которых были Dharma, Crylock и Thanos — в общей сложности совершили более 300 атак. Однако данные компаний России и СНГ на DLS выложены не были. Вероятнее всего, эта техника будет взята на вооружение в дальнейшем.

Незваные гости: более 1000 доступов к сетям компаний выставлено на продажу в даркнете

Аналитики Group-IB наблюдают стремительный рост предложений в андеграунде по продаже доступов в скомпрометированные сети компаний во всем мире. Суммарное количество доступов, выставленных за период H2 2020 — H1 2021, составляет 1 099. Это на 204% больше жертв по сравнению с прошлым периодом (H2 2019 — H1 2020). Общий объем этого рынка составил $7 165 876, что на 16% больше, чем за прошлый период ($6 189388).Основной способ взлома сетей компаний прежний — компрометация учетных записей средств удаленного доступа, фишинг и эксплуатация уязвимостей в опубликованных приложениях.

Количество продавцов в андеграунде увеличилось на рекордные 205%. По подсчетам Group-IB, их уже 262, что в 3 раза больше, чем за предыдущий период.Причем, 229 — это «свежая кровь» — брокеры, активность которых была впервые зафиксирована в отчетном периоде.

Пропорционально увеличилось количество стран, доступом к компаниям которых завладели злоумышленники: 68 стран было атаковано в нынешнем периоде против 42 стран в прошлом. При этом, странами-лидерами в антирейтинге остались США (30%), Франция (5%) и Великобритания (4%), однако значительно выросло количество доступов в компании Австралии (4%) и Индии (3%).

Большинство брокеров — русскоязычные, что делает Россию и СНГ наименее атакуемым регионом, так как злоумышленники стараются не работать «по ру» во избежание ареста. Исследование показало, что 76% от общего количества продаваемых доступов региона приходится на Россию. За ней идут Азербайджан и Армения — по 12% соответственно. Среди продаваемых доступов в России: ИТ-компании, Интернет-провайдеры, ритейл, а также сети госкомпаний. В Азербайджане одной из жертв брокеров стала крупная нефтяная компания, в Армении — из необычных предложений — казино. В целом, за исследуемый период объем рынка продажи доступов, относящихся к компаниям в России и СНГ, сократился в три раза и составил $48239 против $142058 в прошлом периоде.

Доступ в банк — открыт

За последний год количество продаваемых доступов в банки и финансовые организации в мире выросло почти на 206% — с 31 (H2 2019 — H1 2020) до 95 (H2 2020 — H1 2021). Количество продавцов доступов в скомпрометированные сети финансовых организаций также увеличилось с 18 до 47.

За период H2 2020 — H1 2021 прибыль брокеров от продаж доступов в финсектор составила, как минимум, $530 000. Чаще всего их жертвами становились банки и финансовые организации США (22 факта продажи за последний год), Индия (6), Великобритания (5), ОАЭ (5), Канада (4), Мексика (4), Таиланд (4).В России зафиксирован один случай продажи доступа в банк.

Однако, несмотря на рост интереса брокеров к финсектору, его доля (9%) в отраслевом срезе сравнялась производством (9%) и образованием (9%). С отрывом за ними идут здравоохранение и торговля с долей по 7% каждая.

Рынок кардинга и фактор Джокера

Кардинг становится менее привлекательным для киберпреступников. Объем мирового рынка кардинга (продажи в андеграунде украденных данных банковских карт в виде дампов или текста) за исследуемый период уменьшился на 26% — с $1,9 млрд до $1,4 млрд. Это объясняется сокращением количества дампов (содержимое магнитных полос банковских карт) в продаже на 17% — до 58 млн. против 70 млн. из-за закрытия крупнейшего кардшопа Joker’s Stash. При этом, в среднем, цена за дамп упала: с $21.88 до $13.84. Зато максимальная цена выросла с $500 до $750.

Другая ситуация сложилась на рынке текстовых данных банковских карт (номер, дата истечения, имя держателя, адрес, CVV). Их количество в андеграунде увеличилось на 36% с 28 млн. до 38 млн., благодаря росту объема фишинговых ресурсов под известные бренды в период пандемии. Средняя цена за «текст» выросла с $12.78 до $15.2, а максимальная взлетела в 7 раз с — со $150 до небывалых $1000.

Рынок кардинга в России и СНГ впервые сжался на 77%, составив всего $270935 за отчетный период (H2 2020 — H1 2021) против $ 1 210 491 в прошлом периоде (H2 2019 — H1 2020). А общее количество данных банковских карт, выложенных на продажу в даркнете и атрибутируемых к банкам России и СНГ, сократилось на 60% — с 34 816 до 13799.

Размер рынка дампов в регионе снизился на 88% с $931 978 до $115 098, а текстовых данных на 44% c $278 513 до $155 838. При этом, в среднем, цена в кардшопах на «текст» незначительно увеличилась — с $14.08 до $15.43 за карту, а за дамп упала вдвое с $61.98 до $31.12. Эксперты ожидают, что количество продаж банковских карт а андеграунде в дальнейшем будет постепенно снижаться. Прежде всего это коснется продаж дампов.

Рука руку моет: фишинговые и мошеннические партнерские программы

В отчетном периоде широкое распространение получили фишинговые и мошеннические партнерские программы (Scam-as-a-service, Phishing-as-a-service). Изначально онибыли ориентированы на Россию и страны СНГ. Сейчас в поле зрения специалистов Group-IB все чаще попадают «партнерки», нацеленные на европейские, азиатские, ближневосточные и американские компании. Известно о 71 бренде из 36 стран, под которые создают и распространяют фишинг участники таких «партнерок». Среди наиболее атакуемых: маркетплейсы (69,5%), сервисы доставки (17,2%), райдшеринг (сервисы по совместному использованию авто для поездок) —12,8% и другие.

С постсоветского пространства «партнерки» начали онлайн-миграцию в страны Европы, Америки, Азии, Ближнего Востока. Одним из таких примеров является «Мамонт» — мошенническая схема, популярная среди скам-партнерок. Она по-прежнему остается популярной в России, Беларуси, Казахстане, Узбекистане Азербайджане, Украине и Грузии.

По оценкам экспертов Group-IB, существует около 70 фишинговых и мошеннических партнерских программ. Цель участников фишинговых и мошеннических партнерских программ — кража денег, персональных и платежных данных. Их общая прибыль составила как минимум $10 000 000 за отчетный период. Средняя сумма хищений участниками партнерок составляет $83. В «партнерках» задействовано большое количество участников, есть строгая иерархия и сложная техническая инфраструктура для автоматизации мошенничества. Специалисты Group-IB отмечают, что, злоумышленники стали активно использовать Telegram в работе. У «партнерок» появилось огромное количество ручного трафика, получаемого через целенаправленную работу с жертвой.

Group-IB — один из ведущих разработчиков решений для детектирования и предотвращения кибератак, выявления мошенничества, расследования высокотехнологичных преступлений и защиты интеллектуальной собственности в сети со штаб-квартирой в Сингапуре. Центры исследования киберугроз компании находятся на Ближнем Востоке (Дубай), в Азиатско-Тихоокеанском регионе (Сингапур), в Европе (Амстердам) и в России (Москва).

Система сбора данных о киберугрозах Group-IB Threat Intelligence & Attribution признана одной из лучших в мире по версии Gartner, Forrester, и IDC. Решение Group-IB Threat Hunting Framework (ранее — TDS) для проактивного поиска и защиты от сложных и неизвестных киберугроз получило признание ведущего европейского аналитического агентства KuppingerCole Analysts AG, а компания Group-IB вошла в число лидеров рынка в категориях «Product Leader» и «Innovation Leader». Технологии Group-IB по защите от онлайн-мошенничества в интернет-банкинге и сервисах электронной коммерции Fraud Hunting Platform получили признание Gartner, агентство присвоило Group-IB статус надежного поставщика в категории «Решения по выявлению онлайн-мошенничества». Решение Digital Risk Protection для выявления и устранения цифровых рисков, а также противодействия атакам с неправомерным использованием бренда получило престижную премию Innovation Excellence от глобального консалтингового агентства Frost & Sullivan.

В основе технологического лидерства компании и ее возможностей в сфере научных исследований и разработки — 18-летний практический опыт расследования киберпреступлений по всему миру и более 65 000 часов реагирования на инциденты информационной безопасности, аккумулированные в одной из крупнейших лабораторий компьютерной криминалистики, департаменте расследований и круглосуточном центре оперативного реагирования CERT-GIB.

Компания является резидентом «Сколково» и Иннополиса. Group-IB — партнер Europol.

Опыт Group-IB в поиске угроз и киберразведке был интегрирован в спектр решений, объединивший чрезвычайно сложное программное и системное обеспечение, с целью мониторинга, обнаружения и предотвращения кибератак.

Миссия Group-IB — защищать наших клиентов в киберпространстве, создавая и используя инновационные продукты и решения.

>

Сообщить об инциденте

Центр круглосуточного реагирования на инциденты
информационной безопасности +7 495 984-33-64

Отправляя форму, даю согласие на обработку своих персональных данных в соответствии с Федеральным законом «О персональных данных» от 27.07.2006 № 152-ФЗ
Спасибо, мы свяжемся с Вами в самое ближайшее время
Сообщить об инциденте