Group-IB: итоги года и прогноз о главных киберугрозах

«Миссия профессионалов в области кибербезопасности заключается в ликвидации киберпреступности с помощью высокотехнологичных инженерных решений, а не ограничивается только пассивной защитой, – заявил Илья Сачков, генеральный директор Group-IB, открывая международную конференцию CyberCrimeCon-2020. – За 17 лет мы провели более 1200 успешных расследований с правоохранительными органами по всему миру, помогли привлечь к ответственности и остановить реальных киберпреступников. Невозможно сражаться с врагом, не зная его, не понимая его мотивов, приемов и тактики. Вот почему атрибуция и Threat Hunting являются основой нашей инженерной философии. Во всем, что мы делаем».

В 2020 году мир столкнулся с серьезным вызовом: пандемия COVID-19, обострение политического противостояния между странами, нестабильность на мировых финансовых рынках. Новая реальность изменила киберпространство: был зафиксирован рост количества кибератак от прогосударственных хакерских групп и киберкриминала с использованием шифровальщиков, шпионского ПО, бэкдоров. Злоумышленники искали любой возможный способ проникновения в сети предприятий, адресно атакуя сотрудников, работающих удаленно. На фоне снижения количества успешных целевых атак на банки отмечен стремительный рост числа финансовых мошенничеств с использованием социальной инженерии (вишинга, фишинга), жертвами которых становились в основном клиенты банков. Главный мотив киберпреступников остался прежним – кража денег или информации, которую можно продать, но он приобрел новую «упаковку», адаптированную под актуальную повестку.

Вот лишь некоторые из ключевых тенденций, названных в свежем аналитическом отчете Group-IB Hi-Tech Crime Trends 2020–2021, который по традиции презентуется на конференции CyberCrimeCon.

Крупный улов шифровальщиков

Самую сильную головную боль и наибольший финансовый ущерб – свыше $1 млрд – принесли атаки программ-шифровальщиков. Большинство вымогателей сфокусировались на атаках на корпоративный и государственный секторы.

Всего за последний год известно более чем о 500 публичных атаках шифровальщиков на компании в более чем 45 странах мира. Самыми популярными целями вымогателей были компании из США: на них пришлось около 60% всех известных нападений. В топ-5 наиболее пострадавших отраслей входят производство (94 жертвы), ретейл (51 жертва), государственные учреждения (39 жертв), здравоохранение (38 жертв), строительство (30 жертв).

Наиболее опасными шифровальщиками с конца 2019 года являются Maze и REvil – на них приходится более 50% успешных атак. Во втором эшелоне идут Ryuk, NetWalker, DoppelPaymer. 

Стимулом для расцвета эры шифровальщиков послужили приватные и публичные партнерские программы, что привело к опасному симбиозу вымогателей со злоумышленниками, которые специализируются на компрометации корпоративных сетей. Операторы шифровальщиков выкупают доступ и атакуют жертву. После того как та выплачивает выкуп, процент от этой суммы получает партнер. Исследователи выделяют такие векторы взлома сетей, как вредоносные рассылки, подбор паролей к интерфейсам удаленного доступа (RDP, SSH, VPN), вредоносное ПО (например, загрузчики), а также использование новых типов бот-сетей (брутфорс ботнет), назначение которых – распределенный подбор паролей с большого количества зараженных устройств, в том числе серверов.

С конца 2019 года вымогатели взяли на вооружение новую технику: перед шифрованием они копируют всю информацию компании-жертвы на свои серверы с целью дальнейшего шантажа. Если жертва не заплатит выкуп, она не только потеряет данные, но и увидит их в открытом доступе. Также сведения могут быть выставлены на аукцион.

Опасная семерка

Уходящий год показал, что все чаще шпионаж сменяется активными попытками уничтожения объектов инфраструктуры. Арсенал злоумышленников активно пополняется инструментами для атак на физически изолированные сети объектов критической инфраструктуры. Очевидной целью атакующих становится ядерная энергетика. Если в прошлом году в публичном пространстве не было зафиксировано ни одной атаки, то в этом инциденты произошли на ядерных объектах Ирана и Индии. При этом прогосударственные группы не теряют интереса к телекоммуникационному сектору: за анализируемый период здесь проявляли активность 11 групп, связанных со спецслужбами. Задачами злоумышленников по-прежнему остаются шпионаж за телеком-операторами и попытки вывода их инфраструктуры из строя.

На карте гонки киберпротивостояния спецслужб наибольшее количество групп сосредоточено в Китае – 23, в Иране – 8 групп, в Северной Корее и России – по 4 группы, в Индии – 3 группы, в Пакистане и Секторе Газа – по 2 группы.

Согласно данным Group-IB, самым атакуемым за отчетный период стал Азиатско-Тихоокеанский регион, к которому проявляли интерес проправительственные группы из Китая, Северной Кореи, Ирана и Пакистана: суммарно в данном регионе было проведено34 кампании. На втором месте европейские страны (22 кампании), которыми в основном интересовались группы из Китая, Пакистана, России и Ирана.

Также аналитиками обнаружено семь ранее неизвестных APT-групп, среди них: Tortoiseshell (Иран), Poison Carp (Китай), Higaisa (Южная Корея), AVIVORE (Китай), Nuo Chong Lions (Саудовская Аравия), а также Chimera и WildPressure, принадлежность которых к какой-либо стране остается не установленной.

Темные лорды

Объем продаваемых на даркнет-форумах доступов к корпоративным сетям компаний увеличивается ежегодно, однако пик пришелся на 2020 год. Оценить общий объем рынка продажи доступов в андеграунде достаточно сложно: злоумышленники часто не публикуют цены, а сделки происходят «в привате». Однако технологии Group-IB по исследованию таких площадок, в том числе с учетом удаленной и скрытой злоумышленниками информации, позволили оценить общий размер рынка в текущем периоде (H2 2019 – H1 2020) в $6 189 388, что в четыре раза больше прошлого периода (H2 2018 – H1 2019), когда он составлял $1 609 930.

Новой тенденцией стало участие в этом «бизнесе» прогосударственных групп, стремящихся найти дополнительное финансирование: они также начинают продавать доступы в корпоративные сети. Например, летом 2020 года были опубликованы лоты о продаже доступов к большому количеству сетей, включая государственные ведомства США, оборонных подрядчиков (Airbus, Boeing, Raytheon и др.), ИТ-гигантов и медиакомпаний. Суммарно за лоты автор поста просил около $5 млн.

Только за первое полугодие 2020-го хакерами было выставлено на продажу 277 лотов, предлагающих доступ к взломанным корпоративным сетям компаний. Количество продавцов также выросло до 63, из них 52 начали свою активность в этом году. 

Кстати, прямо во время CyberCrimeCon-2020 Крейг Джонс, Cybercrime Director из INTERPOL, объявил об итогах операции Falcon: Group-IB и полиция Нигерии ликвидировали преступную группу, которая скомпрометировала около 500 тысяч государственных и частных компаний из 150 стран мира.

«Пластиковый» взлом

Объем рынка кардинга – продажи данных скомпрометированных банковских карт – за исследуемый период вырос на 116%, с $880 млн до $1,9 млрд, по сравнению с прошлым годом. Высокие темпы роста характерны как для текcтовых данных (номер, дата истечения, имя держателя, адрес, CVV) и дампов (содержимое магнитных полос карт). Количество предлагаемых к продаже текстовых данных выросло на 133%, с 12,5 до 28,3 млн карт, а дампов на 55%, с 41 млн до 63,7 млн. Средняя цена за текстовые данные банковской карты – $12, дампы – $17. Максимальная цена за текст – $150, за дамп – $500.

Текстовые данные воруют с помощью фишинговых сайтов, банковских троянов под ПК, Android, а также в результате взломов сайтов электронной коммерции и использования JavaScript-снифферов, которые внедряются злоумышленниками на сайт для перехвата вводимых пользователем данных – номеров банковских карт, имен, адресов, логинов, паролей и т. д. За прошедший год именно использование JS-снифферов для кражи банковских карт стало одним из основных способов получения больших объемов платежной информации. На их рост также повлиял тренд на перепродажу доступов к различным сайтам и организациям в даркнете. Всего на данный момент специалистами Group-IB отслеживается 96 семейств JS-снифферов, что в 2,5 раза больше, чем в прошлом году, когда было известно только о 38 семействах. В целом, по данным Group-IB, за прошедший год было обнаружено почти 460 тыс. банковских карт, скомпрометированных при помощи JS-снифферов.

На CyberCrimeCon-2020 Тобиас Вилох, представитель структурного подразделения Европола – Европейского центра по борьбе с киберпреступностью (EC3), рассказал про операцию Carding Action 2020, направленную на борьбу с подпольным рынком продаж данных скомпрометированных банковских карт. Сама операция длилась три месяца, и в ней, кроме Европола, приняли участие полицейские Италии, Венгрии, Великобритании, в частности отдел по борьбе с платежными преступлениям службы столичной полиции Лондона и полиция Сити. Group-IB, единственная частная компания в сфере кибербезопасности, участвовавшая в операции, предоставила европейским правоохранительным органам информацию о 90 000 банковских картах, скомпрометированных с помощью фишинговых веб-сайтов, банковских троянов под ПК, Android, а также JS-снифферов, которые злоумышленники внедряют на сайт интернет-магазинов для перехвата вводимых пользователем данных – номеров банковских карт, имен, адресов, логинов, паролей и т. д.

Взлет фишинга

Group-IB выявила и заблокировала на 118% больше фишинг-ресурсов, чем ранее. Аналитики объясняют этот рост несколькими причинами, главная из них – пандемия: веб-фишинг как одна из наиболее простых схем заработка привлекла внимание большей аудитории, лишившейся доходов. Увеличение спроса на покупки через Интернет сыграло на руку фишерам: они быстро подстроились под новую реальность и начали проводить фишинговые атаки на сервисы и отдельные бренды, которые ранее не имели для них особого экономического эффекта.

Заметна и смена тактики. В предыдущие годы злоумышленники прекращали свои кампании после блокировки мошеннических веб-ресурсов и переключались на другие бренды. Сегодня они автоматизируют атаку, выводя новые фишинговые единицы на смену заблокированным.

С начала года наблюдается рост продвинутой социальной инженерии, где в фишинговой атаке применяются многоходовые сценарии. В таких набирающих популярность фишинговых схемах жертву предварительно прорабатывают – устанавливают с ней контакт (например, посредством мессенджера), создают вокруг нее атмосферу легитимности действий и только после этого направляют на фишинговую страницу. Трендом этого года стало использование одноразовых ссылок. Пользователь получает уникальную ссылку, которая становится неактивной после первого открытия. Если он перешел по ссылке хотя бы раз, то получить этот же контент повторно для сбора доказательной базы не получится. А без нее процесс блокировки фишингового ресурса значительно усложняется.

Прогнозы, которые сбываются

Эксперты Group-IB сделали несколько прогнозов, к чему готовиться в 2021–2022 гг. В финансовом секторе не ожидается большого количества адресных атак на банки с целью хищений. Как и в других отраслях, большую угрозу будут представлять группы, занимающиеся шифрованием данных, что подтверждается участившимися случаями продаж доступов к корпоративным сетям финансовых учреждений. Более серьезной проблемой, чем шифрование данных, может стать хищение информации о финансовых транзакциях VIP-клиентов и появление таких сведений в открытом доступе. Это может нанести значительный финансовый ущерб и побудить пострадавшие банки более активно платить атакующим. Другим трендом могут стать оповещения атакующими финансовых регуляторов о том, что банк имеет проблемы с безопасностью. Подобные действия могут послужить стимулом для выплат вымогателям более высоких сумм.

Атаки на энергетический сектор с целью саботажа будут проводиться на Ближнем Востоке или в странах с новыми военными конфликтами. Для более эффективных атак злоумышленники будут нападать не только на крупные энергетические компании, но и на небольших операторов, обеспечивающих доставку электроэнергии на последней миле или оказывающих дополнительные услуги крупным энергетическим компаниям.

В связи с тем, что сотрудники компаний все еще работают удаленно и не вернулись в офис (возможно, такой режим работы частично сохранится даже после пандемии), возрастет количество атак на домашние роутеры и системы хранения данных, поскольку они позволяют продвинутым и прогосударственным атакующим более эффективно получать доступ к корпоративным данным, не проникая в периметр организации.

Прогнозы из отчетов Hi-Tech Crime Trends имеют обыкновение сбываться. Так происходит из года в год. Вместе с рекомендациями прогнозы экспертов Group-IB направлены на сокращение финансовых потерь и простоев инфраструктуры, а также на принятие превентивных мер по противодействию целевым атакам, шпионажу и кибертеррористическим операциям.

Смотреть все статьи по теме "Информационная безопасность"