Group-IB, международная компания, специализирующаяся на предотвращении кибератак, оценила ущерб российской финансовой сферы от атак киберпреступников за H2 2017 — H1 2018 гг в 2,96 млрд рублей. Согласно представленному на конференции CyberCrimeCon18 ежегодному отчету Group-IB «Hi-Tech Crime Trends 2018», в России в результате кибератак ежемесячно теряют деньги
«Финансовая мотивация по-прежнему превалирует среди киберпреступников, атакующих банки, однако хищение денег — не самое страшное, что может случиться с финансовой организацией, — отметил Илья Сачков, генеральный директор и основатель Group-IB. — Поскольку во многих странах мира банки являются объектами критической инфраструктуры, они оказались в числе мишеней для прогосударственных хакерских групп, специализирующейся на диверсиях и саботаже. Одна успешная кибератака может привести как к ликвидации самой кредитно-финансовой организации, так и коллапсу финансовой системы государства. В связи с этим банки должны пересмотреть подход к системе защиты от киберугроз: оборонительная стратегия уже себя исчерпала. Пора стать охотником, а не мишенью для атак».
В новом отчете эксперты Group-IB подробно рассказали о киберугрозах для финансового сектора — активных хакерских группах, тактике атакующих, векторах заражения и новых хакерских инструментах.
Group-IB выделяет четыре преступных хакерских группы, представляющих реальную угрозу для финансового сектора: они способны не только проникнуть в сеть банка, добраться до изолированных финансовых систем, но и успешно вывести деньги через SWIFT, АРМ КБР, карточный процессинг и банкоматы. Речь идет о группах Cobalt, MoneyTaker, Silence, состоящих из русскоговорящих хакеров, а также о северокорейской Lazarus.
Для системы межбанковских переводов SWIFT представляют угрозу только две преступные группы: Lazarus и Cobalt, причем последняя в конце 2017 года впервые в истории российский финансовой сферы провела успешную целевую атаку на банк с использованием SWIFT. По оценкам Group-IB, количество целенаправленных атак на банки с целью хищения через SWIFT за отчетный период увеличилось в три раза. Если за прошлый прошлый период было зафиксировано всего три подобных атаки: в Гонконге, на Украине и в Турции, то в этом — прошло уже 9 успешных атак в Непале, Тайване, России, Мексике, Индии, Болгарии и Чили. Хорошая новость в том, что в случае со SWIFT, большую часть несанкционированных транзакций удается вовремя остановить и вернуть пострадавшим банкам.
Атаки на карточный процессинг по-прежнему являются одним из основных способов хищений и его активно используют хакеры из Cobalt, MoneyTaker, Silence. В феврале 2018 года участники Silence провели успешную атаку на банк и хищение денег через карточный процессинг: им удалось снять с карточек через банкоматы партнера банка 35 млн. рублей. Фокусировка атак на банкоматах и карточном процессинге привела к уменьшению среднего ущерба от одной атаки. Однако это позволяет атакующим проводить эти атаки более безопасно для «дропов», обналичивающих украденные деньги. Атакующие находятся в одной̆ стране, их жертва (банк) в другой, а обналичка происходит в третьей.
Выводом денег через АРМ КБР (автоматизированное рабочее место клиента Банка России) активно пользуется группа MoneyTaker — если в ноябре 2017 года им удалось вывести всего 7 млн. рублей, то уже летом 2018 года они успешно похитили из ПИР-банка 58 млн. рублей. Напомним, что на счету MoneyTaker 16 атак в США, 5 — на банки России и 1 — в Великобритании. В США средний ущерб от одной атаки составляет $500 000. В России средний объем выведенных средств — 72 млн. рублей. В декабре 2017 года Group-IB опубликовала первый отчет об этой группе: «MoneyTaker: полтора года ниже радаров».
Атаки на платежные шлюзы за обозначенный период проводила только группа Cobalt. При этом в 2017 году они похитили таким образом деньги у двух компаний, а в 2018 не сделали ни одной попытки. При этом помощь в проведении одной из атак им оказывали участники из группы Anunak, которая не проводила подобных атак с 2014 года. Несмотря на арест в Испании лидера группы весной 2018 года, Cobalt по-прежнему остается одной из самых активных и агрессивных группировок, стабильно —
В России, по данным экспертов Group-IB, не осталось ни одной группы, которая бы занималась хищениями у физических лиц с использованием банковских троянов для персональных компьютеров. Снижение угроз со стороны банковских троянов для ПК в России продолжается с 2012 года.
В настоящее время только три преступные группы — Buhtrap2, RTM, Toplel — похищают деньги со счетов юридических лиц в России. Эксперты Group-IB обратили внимание на изменение во второй половине 2017 года тактики атакующих: вектором распространения троянов стала не традиционная вредоносная рассылка и не взломанные популярные сайты, а создание новых тематических ресурсов для бухгалтеров, генеральных директоров, использующих в своей работе системы дистанционного банковского обслуживания (ДБО), платежные системы или криптокошельки. На фейковых ресурсах злоумышленники размещали код, предназначенный для загрузки троянов Buhtrap и RTM.
В отличие от России, на мировой арене ландшафт киберугроз изменился значительно сильнее. Появилось шесть новых банковских троянов для ПК: IcedID, BackSwap, DanaBot, MnuBot, Osiris и Xbot. Из новых троянов отмечают BackSwap, который изначально атаковал только банки Польши, но потом добрался до банков Испании. BackSwap интересен тем, что реализовал сразу несколько новых техник внедрения кода для автоподмены платежных реквизитов. Наибольшую угрозу для клиентов банков по-прежнему представляют преступные группы, использующие трояны Dridex, Trickbot, Gozi.
За прошедший год эксперты Group-IB отметили спад в России эпидемии заражения смартфонов Android-троянами после нескольких лет бурного роста. Количество проводимых ежедневных хищений с помощью Android-троянов в России снизилось почти в три раза, а средний размер хищений снизился с 11 000 рублей до 7 000 рублей. Новые Android-трояны — Easy, Exobot 2.0, CryEye, Cannabis, fmif, AndyBot, Loki v2, Nero banker, Sagawa и др., выставленные на продажу или в аренду на хакерских форумах, ориентированы, прежде всего, на использование за пределами России. Исключение составляет вредоносная программа «Банки на ладони». Троян был замаскирован под финансовое приложение, выполняющего роль «агрегатора» систем мобильного банкинга ведущих банков страны. Троян похищал у пользователей от 100 000 до 500 000 рублей в день, однако в марте 2018 года злоумышленник были задержан полицией при содействии компании Group-IB. Еще одной причиной снижения ущерба среди клиентов стал наметившийся переход банков и платежных систем на технологии раннего обнаружения фрода, использующие алгоритмы поведенческого анализа, что позволяет детектировать атаки, использующие социальную инженерию, фишинг, бот-сети, захват учетной записи, сети нелегального обналичивания денег и другие виды банковского мошенничества на всех устройствах и платформах клиента.
Значительно выросло количество преступлений, совершенных с использованием web-фишинга, фейковых сайтов банков, платежных систем, телеком-операторов, интернет-магазинов и известных брендов. С помощью web-фишинга злоумышленникам удалось похитить 251 млн. рублей, что на 6% больше по сравнению с показателем прошлого периода. В среднем средняя сумма одного хищения с помощью фишинга составляет около 1 000 руб. По оценкам Group-IB, количество групп, которые создают фишинговые сайты под российские бренды, выросло с 15 до 26. Что касается мировых тенденций, то, как и ожидалось, наибольший объем финансового фишинга приходится на компании в США. Их доля составляет 80% всех финансовых фишинговых сайтов. Второе место занимаем Франция, затем Германия.
Как отметил CEO Group-IB Илья Сачков, для победы над киберпреступностью необходима синхронизация законодательства на уровне государств, удар по экономической базе и каналам финансирования злоумышленников, введение моратория на разработку и продажу цифрового оружия, которое может оказаться в руках у киберпреступников: «Кибербезопасность должна стать приоритетом парадигмой для граждан, бизнеса и государств. Считается, что противодействие киберугрозам — типичное соревнование брони и снаряда. Именно поэтому сейчас изменилась сама парадигма защиты: главная идея — быть на несколько шагов впереди киберпреступников и не допустить преступления вообще».