Круглосуточная линия+7 495 984-33-64Электронная почтаАдрес офисаМосква, 115088, Шарикоподшипниковская, 1, БЦ «Прогресс Плаза», 9 этаж
Сообщить об инциденте

29 ноября 2019

Group-IB: в России рынок высокотехнологичных преступлений в финансовой сфере сократился на 85%

Group-IB, международная компания, специализирующаяся на предотвращении кибератак, представила глобальный отчет о высокотехнологичных преступлениях Hi-Tech Crime Trends 2019-2020. Сокращение в России ущерба от всех видов киберпреступлений с использованием вредоносных программ, направленных как напрямую на банки, так и их клиентов привело к рекордному падению рынка на 85%. Согласно оценке Group-IB рынок высокотехнологичных преступлений в финансовой отрасли России, сократился до 510 млн рублей за период H2 2018 — H1 2019 против 3,2 млрд рублей в предыдущем периоде. На фоне исхода финансово мотивированных группировок из зоны «РУ», сокращения числа Android-троянов и групп, занимающихся фишингом, в России растет количество преступлений против клиентов банков с использованием социальной инженерии и телефонного мошенничества.

Целевые атаки на банки: смена фокуса

Команда Group-IB Threat Intelligence выделяет 5 групп, которые успешно проводят целевые атаки на банки и представляют реальную угрозу финансовому сектору в мире. Среди них «русскоязычная тройка» — Cobalt, Silence и MoneyTaker, а также северо-корейская Lazarus (Северная Корея) и новая группа SilentCards из Кении. По-прежнему только Cobalt, Silence и MoneyTaker обладают троянами, которые позволяют управлять диспенсером банкомата и выводить деньги. При этом за исследуемый период через банкоматы атаковали только хакеры Silence, через карточный процессинг — Silence и SilentCards, через SWIFT — Lazarus (2 успешных хищения: в Индии и на Мальте на общую сумму 16 млн долл).

Только северокорейская APT-группа применяет метод хищения FastCash. Он стал известен в конце 2018 года, хотя впервые был использован в Азии еще в 2016 году. За всеми атаками этого типа стоит группа Lazarus. Silence снизили активность по собственным фишинговым рассылкам и начали приобретать доступ в целевые банки у других хакерских групп, в частности, у ТА505. На данный момент, SilentCards является наименее технически подготовленной среди указанных групп и пока успешно совершает целевые атаки только на банки в Африке.

В отношении российских банков Cobalt и Silence провели по одной успешной атаке за исследуемый период, MoneyTaker — две. Первые две русскоязычные группы переключили свой фокус на иностранные цели, что привело к многократному сокращению ущерба «по РУ». Согласно отчету Group-IB до 93 млн руб, то есть почти в 14 раз (!) сократились потери от целевых атак на банки в России со стороны финансово мотивированных группировок. По сравнению с прошлым периодом, средняя сумма хищения от целевых атак на банки в России упала со 118 до 31 миллиона рублей.

По прогнозам Group-IB «русскоязычная тройка» продолжит географическую экспансию вне «РУ». Для вывода денег они будут использовать атаки на систему карточного процессинга и трояны для банкоматов. SWIFT будет намного реже попадать в фокус этих групп. Lazarus останется единственной группой, которая будет совершать хищения через SWIFT и ATM Switch. Успешные атаки на банки будут завершаться выводом инфраструктуры из строя для сокрытия следов. Предположительно SilentCards пока останется локальной группой, атакующей банки в своем регионе.

 

Угрозы для клиентов банков: торжество «социалки»

Оценивая рынок высокотехнологичных преступлений в России, эксперты Group-IB выделяют несколько сегментов, в каждом из которых фиксируется снижение. По хищениям с помощью троянов для ПК, «родиной» которых всегда была Россия, ущерб сократился на 89% и составил 62 миллиона рублей. Русскоязычные хакеры перестали создавать новые десктопные трояны. Осталось всего две группы, которые похищают деньги в России с помощью троянов для ПК — Buhtrap2 и RTM. Активность проявляет только последняя.

Трояны под мобильные Android-устройства исчезают медленнее, но хищения с помощью этого типа вредоносного ПО также на спаде: ущерб в этом сегменте составил 110 млн. рублей, что на 43% ниже аналогичного показателя в прошлом периоде. Количество групп, использующих Android-трояны в России, сократилось с 8 до 5: при этом со сцены ушли «тяжеловесы» — трояны, на счету которых наибольшее количество мошеннических транзакций. Оставшиеся группы отказались от СМС-канала для хищений, его заменил метод перевода card2card, что привело к увеличению среднего размера хищения с 7 до 11 тысяч рублей. В целом, за истекший период 22 трояна вышли из употребления, им на смену были созданы всего 7 новых.

Ущерб от финансового фишинга в России упал на 65% до уровня 87 миллионов рублей. На общую цифру повлияло как сокращение количества активных групп, так и уменьшение «среднего чека» атаки. Снижение финансовой выгоды привело к выходу из игры 15 групп, зарабатывавших на фишинговых атаках. Активных осталось 11.

Снижение экономической эффективности от этих типов атак, вынуждает мошенников искать новые способы заработка на данных банковских карт. В итоге мошенничество с использованием приемов социальной инженерии вышло на первое место по степени распространения угрозы в России. Прежде всего, речь идет о телефонном мошенничестве — вишинге, который начиная с конца 2018 года буквально захлестнул банковский рынок. Поведенческий анализ пользовательских сессий для выявления подозрительной активности в системах ДБО по-прежнему является прерогативой крупных банков. Именно поэтому в России именно этот вид атак на клиентов банков сохранит высокую динамику.

 

Утечки и компрометация карт: кардинг на подъеме

Объем рынка кардинга за исследуемый период вырос на 33% и составил более 56 млрд. руб. (879 680 072$). Количество скомпрометированных карт, выложенных на андеграундные форумы, возросло 38% с 27,1 до 43,8 млн. относительно прошлого периода. Дампы (содержимое магнитных полос карт) составляют 80% рынка кардинга. За исследуемый период было обнаружено 31,2 млн дампов в продаже, что на 46% выше, чем в прошлом году. Продажа текстовых данных (номер, CVV, срок действия) тоже на подъёме, их рост составил 19%. Средняя цена на текстовые данные поднялась с 9 до 14$, при этом снизилась средняя цена дампа — с 33$ до 22$.

Наиболее низкая цена выставляется, как правило, на скомпрометированные данные американских банков, они, в среднем, идут по 8-10$ за свежие текстовые данные карты и 16-24$ за дампы. Традиционно высокий прайс на карты европейский банков: 18-21$ за текст, 100-120$ за дамп. Российские карты остаются редкостью в крупных кардшопах, большинство из которых не работает «по РУ». Карты российских банков обычно находятся в среднем ценовом диапазоне, при этом с прошлого периода значительно выросла средняя цена за дамп — с 48$ до 71$ (4 500 руб) и немного снизилась цена за текст с 15$ до 12$ (760 руб). При этом максимальная цена за дамп карты российского банка в 2018 году достигала 170$ (10 000 руб), а в 2019 поднялась до отметки 500$ (32 000 руб).

Новым трендом, работающим на увеличение объема текстовых данных банковских карт в продаже стали JS-снифферы. В этом году эксперты Group-IB выявили минимум 38 разных семейств JS-снифферов, их количество растет и уже превышает число банковских троянов. По масштабам компрометации с помощью JS-снифферов первую позицию занимает США, а вторую — Великобритания. Эта угроза будет актуальна в первую очередь для стран, где не распространена система 3D Secure.

Фишинг — остается «долгоиграющим» методом о получения мошенниками текстовых данных о банковских картах пользователей. Конкуренция в этом сегменте растет: атакующие стали использовать панели для управления веб-инжектами и автозаливом, которые раньше были прерогативой банковских троянов. Разработчики фишинг-китов начали больше внимания.

Group-IB — один из ведущих разработчиков решений для детектирования и предотвращения кибератак, выявления фрода и защиты интеллектуальной собственности в сети. Система сбора данных о киберугрозах Group-IB Threat Intelligence признана одной из лучших в мире по версии Gartner, Forrester, IDC.

В основе технологического лидерства компании – 16-летний опыт расследования киберпреступлений по всему миру и более 55 000 часов реагирования на инциденты ИБ, аккумулированные в крупнейшей в Восточной Европе Лаборатории компьютерной криминалистики и круглосуточном центре оперативного реагирования CERT-GIB.

Group-IB — партнер Interpol и Europol, поставщик решений в сфере кибербезопасности, рекомендованный SWIFT и ОБСЕ. Group-IB – компания-участник Всемирного экономического форума.

Сообщить об инциденте

Центр круглосуточного реагирования на инциденты
информационной безопасности +7 495 984-33-64

Отправляя форму, даю согласие на обработку своих персональных данных в соответствии с Федеральным законом «О персональных данных» от 27.07.2006 № 152-ФЗ
Спасибо, мы свяжемся с Вами в самое ближайшее время
Сообщить об инциденте