Хакеры наступают и часто выигрывают

Хакеры предпочитают грабить банки, нежели юридических лиц. В период с июля прошлого года по июнь текущего отмечен рост общего объема похищенного на 38% по сравнению с предыдущим периодом 2014–2015 гг., а с помощью Android объем похищенного вырос в 4,5 раза - таковы результаты исследования тенденций высокотехнологичной преступности, подготовленные специалистами Group-IB.

Основную часть средств (45%) хакеры похитили с помощью целевых атак на банки. Они атаковали банкоматы и инфраструктуру, относящуюся к взаиморасчетам между банком и Центробанком, при этом они получали средства, которыми распоряжался сам банк. Год назад к основной части хищений относились клиенты банков — юрлица: их кабинеты в системах интернет-банков легко взламывались киберпреступниками.

Этот тренд ярко выражен: начало распространения атак на банки в России приходится на 2013 года, а в мире — совсем недавно. По мнению авторов исследования, самые профессиональные группы преступников, прежде атаковавшие компании, переориентировались на банки, а преступники, пользовавшиеся целевыми атаками в России, выходят теперь и в другие страны.

По словам менеджера по развитию бизнеса Group-IB Виктора Ивановского, переориентацию киберпреступников можно объяснить тем, что даже одно успешно проведенное ограбление банка может принести куда больше средств, нежели ограбление юрлица, а про частных клиентов и говорить не приходится. Совершение киберпреступлений — это, прежде всего, вариант заработать, а не авантюризм.

В феврале 2016 года хакерами была предпринята попытки хищения 667 млн руб. в Металлинвестбанке. Уже началось списание средств с коррсчета в ЦБ и их перевод на счета частных лиц в других банках страны. Но атаку удалось частично пресечь. Объем потерь банк оценил в 200 млн рублей. А в июне МВД совместно с ФСБ была задержана группа хакеров (50 человек), использовавших вирус Lurk для атак финансовых учреждений. Сумма похищенного злоумышленниками - 1,7 млрд руб. Наряду с Металлинвестбанком, хакеры нанесли ущерб Русскому международному банку, банкам «Метрополь» и «Регнум».

В период с июля по август «трояном» Panda Banker было атаковано десять крупнейших банков в Рио-де-Жанейро. Вирус способствовал краже конфиденциальной информации их клиентов, карт, сервисов и биткоин-платформ. Вредоносная программа в качестве своей главной цели наметила службу доставки одной из сетей супермаркетов Бразилии, сайт правоохранительной службы, программу лояльности компании, работающих в сфере электронной коммерции.

 

Примерно 1/3 (31%) рынка киберпреступлений связана с обналичиванием украденных средств. По словам менеджера по развитию бизнеса Group-IB Виктора Ивановского, нами мониторится почти 300 площадок хакеров. Вопросы, которые на них обсуждаются, имеют прямое отношение к тому, как реализовать те или иные атаки, как потом вывести украденные деньги. Мониторинг помогает в получении информации о размерах этого сегмента.

Несмотря на высокую степень заинтересованности хакеров хищениями у банков, при снижении интенсивности атак на интернет-банкинг юрлиц и физлиц, эти показатели по-прежнему ощутимы. Как раз русскоязычные специалисты и разогревают рынок троянских программ для ПК, применяемых для атак по всему миру. Трояны - это программы, имеющие дополнительные закладки, которые пользователь сам того не зная, устанавливает на свой компьютер, достаточно, допустим, открыть вредоносную ссылку, прочитав электронное письмо. Трояны могут не только похищать ваши деньги, но и, например, шифровать пользовательские данные, а потом требовать, чтобы за дешифровку вы заплатили энную сумму.

Взрывной мобильный рост

Значительная сумма была добыта киберпреступниками, которые использовали уязвимости ОС Android. Поскольку функциональность троянов для Android и их доступность развиваются высокими темпами, это стимулирует высокий рост числа успешно проведенных атак. В России каждый день растет число таких жертв (порядка 350 пользователей устройств, работающих на этой платформе), а рост объема хищений превысил 450%.

Как говорит Виктор Ивановский, схема хищения на мобильном устройстве такова: скачивание пользователем с последующей установкой мобильного приложения, предложенного непроверенным источником. В приложении может содержаться вредоносная программа с закладками, перехватывающими СМС, иногда интерфейс личного кабинета банковского клиента. В итоге все данные клиента оказываются перехваченными и в дальнейшем их используют, чтобы похитить средства с его счета.

По прогнозам Group-IB, темпы роста объема хищений выйдут постепенно на трехзначные цифры по всему миру, так как заражения вредоносным ПО все сложнее заметить, а хищения автоматизированы. Вредоносным программам присуща активная мимикрия под известные приложения (к примеру, распространение под видом Pokemon Gо). Ожидания Group-IB связана с приростом инцидентов, в которых будут участвовать русскоязычные хакеры, тогда как хакеры, получившие успешный опыт в атаках на российские и украинские банки, уйдут в другие страны мира. Также ожидается появление новых инструментов и сервисов для целевых атак. Хакеры будут более пристально искать инсайдеров для того, чтобы получить нужную информацию и первично заразить нужный объект. Впору говорить об увеличении среднего размера ущерба от одной успешно проведенной атаки. Если говорить о троянах для компьютеров, то они постепенно сдадут свои позиции перед Android-троянами. Успешные хищения с помощью Android-троянов будут динамично расти и качественно, и количественно.

Выводы Group-IB разделяют и другие участники рынка, хотя в данных исследователей есть и существенная разница. По словам руководителя направления консалтинга разработчика решений по информбезопасности ГК InfoWatch Марии Вороновой, процент утечек информации конфиденциального характера, совершаемых умышленно, ежегодно растет». По данным ГК InfoWatch, самые привлекательные для злоумышленников в 1-м полугодии т. г. стали компании, работающие в торговле, финансовом и банковском секторах (процент умышленно допущенных утечек персональной информации, потребовавших взлома систем информбезопасности, составил, как минимум 70).

«Лабораторию Касперского» не удовлетворили выводы о заинтересованности киберпреступников банковским сектором. Как считает руководитель отдела расследований компьютерных инцидентов «Лаборатории Касперского» Руслан Стоянов, актуальность этого отмечалась до того, как арестовали группу Lurk. Но с мая текущего года мы не знаем ни о каком ущербе, якобы понесенном отечественной банковской системой. Кибератаки предпринимаются редко, но их успешно предотвращают. А в период 2012/15 гг. правоохранительными органами разных стран было арестовано свыше 160 говорящих по-русски хакеров, нанесших в общей сложности своей деятельностью ущерб свыше $790 млн. Но это - подтвержденный ущерб — в реальности цифра может быть куда выше.

По словам Стоянова, в прошлом году росло количество атак класса АРТ (класс сложных целевых атак, в частности кибершпионаж). Теперь они фокусируют внимание не только на правительственных, военных, научно-исследовательских и критически важных инфраструктурных организациях, но и на компаниях, работающих в сфере финансов. Как и при кибершпионаже, преступники проводят тщательную подготовку перед каждой операцией: исследуя интересы потенциальной жертвы, выявляя и намеренно заражая сайты, чаще всего посещаемые сотрудниками компании, анализируя контакты и поставщиков компании. Сегодня быстрыми темпами начинает развиваться промышленный шпионаж и «конкурентная разведка», когда основная цель преступников - не деньги компании, а ценный сведения: содержание заключенных контрактов, деловой переписки и т.п. По мнению каждой четвертой компании (23%) в России, она сама уже подвергалась целевым атакам.

По информации «Лаборатории Касперского», сумма среднего ущерба от одного инцидента по вторжению в информбезопасность для крупных компаний России - 11 млн руб., а для компаний МСБ — 1,6 млн руб. По словам Стоянова, с весны прошлого года по весну текущего практически про каждую российскую организацию можно сказать, что она стала жертвой того или иного кибервторжения. Свыше 50% из них столкнулись с неправомерным использованием сотрудниками IT-ресурсов или проникновением в корпоративные сети вредоносного программного обеспечения, что снизило производительность бизнеса. «Лаборатория Касперского» подтверждает данные Group-IB о продолжающемся росте количестве атак на мобильные устройства: в 2016 году в России их количество впервые оказалось выше количества атак на компьютеры.