Group-IB, международная компания, специализирующаяся на предотвращении кибератак, представила глобальный отчет о высокотехнологичных преступлениях Hi-Tech Crime Trends
Команда Group-IB Threat Intelligence выделяет 5 групп, которые успешно проводят целевые атаки на банки и представляют реальную угрозу финансовому сектору в мире. Среди них «русскоязычная тройка» — Cobalt, Silence и MoneyTaker, а также северо-корейская Lazarus (Северная Корея) и новая группа SilentCards из Кении. По-прежнему только Cobalt, Silence и MoneyTaker обладают троянами, которые позволяют управлять диспенсером банкомата и выводить деньги. При этом за исследуемый период через банкоматы атаковали только хакеры Silence, через карточный процессинг — Silence и SilentCards, через SWIFT — Lazarus (2 успешных хищения: в Индии и на Мальте на общую сумму 16 млн долл).
Только северокорейская APT-группа применяет метод хищения FastCash. Он стал известен в конце 2018 года, хотя впервые был использован в Азии еще в 2016 году. За всеми атаками этого типа стоит группа Lazarus. Silence снизили активность по собственным фишинговым рассылкам и начали приобретать доступ в целевые банки у других хакерских групп, в частности, у ТА505. На данный момент, SilentCards является наименее технически подготовленной среди указанных групп и пока успешно совершает целевые атаки только на банки в Африке.
В отношении российских банков Cobalt и Silence провели по одной успешной атаке за исследуемый период, MoneyTaker — две. Первые две русскоязычные группы переключили свой фокус на иностранные цели, что привело к многократному сокращению ущерба «по РУ». Согласно отчету Group-IB до 93 млн руб, то есть почти в 14 раз (!) сократились потери от целевых атак на банки в России со стороны финансово мотивированных группировок. По сравнению с прошлым периодом, средняя сумма хищения от целевых атак на банки в России упала со 118 до 31 миллиона рублей.
По прогнозам Group-IB «русскоязычная тройка» продолжит географическую экспансию вне «РУ». Для вывода денег они будут использовать атаки на систему карточного процессинга и трояны для банкоматов. SWIFT будет намного реже попадать в фокус этих групп. Lazarus останется единственной группой, которая будет совершать хищения через SWIFT и ATM Switch. Успешные атаки на банки будут завершаться выводом инфраструктуры из строя для сокрытия следов. Предположительно SilentCards пока останется локальной группой, атакующей банки в своем регионе.
Оценивая рынок высокотехнологичных преступлений в России, эксперты Group-IB выделяют несколько сегментов, в каждом из которых фиксируется снижение. По хищениям с помощью троянов для ПК, «родиной» которых всегда была Россия, ущерб сократился на 89% и составил 62 миллиона рублей. Русскоязычные хакеры перестали создавать новые десктопные трояны. Осталось всего две группы, которые похищают деньги в России с помощью троянов для ПК — Buhtrap2 и RTM. Активность проявляет только последняя.
Трояны под мобильные Android-устройства исчезают медленнее, но хищения с помощью этого типа вредоносного ПО также на спаде: ущерб в этом сегменте составил 110 млн. рублей, что на 43% ниже аналогичного показателя в прошлом периоде. Количество групп, использующих Android-трояны в России, сократилось с 8 до 5: при этом со сцены ушли «тяжеловесы» — трояны, на счету которых наибольшее количество мошеннических транзакций. Оставшиеся группы отказались от СМС-канала для хищений, его заменил метод перевода card2card, что привело к увеличению среднего размера хищения с 7 до 11 тысяч рублей. В целом, за истекший период 22 трояна вышли из употребления, им на смену были созданы всего 7 новых.
Ущерб от финансового фишинга в России упал на 65% до уровня 87 миллионов рублей. На общую цифру повлияло как сокращение количества активных групп, так и уменьшение «среднего чека» атаки. Снижение финансовой выгоды привело к выходу из игры 15 групп, зарабатывавших на фишинговых атаках. Активных осталось 11.
Снижение экономической эффективности от этих типов атак, вынуждает мошенников искать новые способы заработка на данных банковских карт. В итоге мошенничество с использованием приемов социальной инженерии вышло на первое место по степени распространения угрозы в России. Прежде всего, речь идет о телефонном мошенничестве — вишинге, который начиная с конца 2018 года буквально захлестнул банковский рынок. Поведенческий анализ пользовательских сессий для выявления подозрительной активности в системах ДБО по-прежнему является прерогативой крупных банков. Именно поэтому в России именно этот вид атак на клиентов банков сохранит высокую динамику.
Объем рынка кардинга за исследуемый период вырос на 33% и составил более 56 млрд. руб. (879 680 072$). Количество скомпрометированных карт, выложенных на андеграундные форумы, возросло 38% с 27,1 до 43,8 млн. относительно прошлого периода. Дампы (содержимое магнитных полос карт) составляют 80% рынка кардинга. За исследуемый период было обнаружено 31,2 млн дампов в продаже, что на 46% выше, чем в прошлом году. Продажа текстовых данных (номер, CVV, срок действия) тоже на подъёме, их рост составил 19%. Средняя цена на текстовые данные поднялась с 9 до 14$, при этом снизилась средняя цена дампа — с 33$ до 22$.
Наиболее низкая цена выставляется, как правило, на скомпрометированные данные американских банков, они, в среднем, идут по 8-10$ за свежие текстовые данные карты и 16-24$ за дампы. Традиционно высокий прайс на карты европейский банков: 18-21$ за текст, 100-120$ за дамп. Российские карты остаются редкостью в крупных кардшопах, большинство из которых не работает «по РУ». Карты российских банков обычно находятся в среднем ценовом диапазоне, при этом с прошлого периода значительно выросла средняя цена за дамп — с 48$ до 71$ (4 500 руб) и немного снизилась цена за текст с 15$ до 12$ (760 руб). При этом максимальная цена за дамп карты российского банка в 2018 году достигала 170$ (10 000 руб), а в 2019 поднялась до отметки 500$ (32 000 руб).
Новым трендом, работающим на увеличение объема текстовых данных банковских карт в продаже стали JS-снифферы. В этом году эксперты Group-IB выявили минимум 38 разных семейств JS-снифферов, их количество растет и уже превышает число банковских троянов. По масштабам компрометации с помощью JS-снифферов первую позицию занимает США, а вторую — Великобритания. Эта угроза будет актуальна в первую очередь для стран, где не распространена система 3D Secure.
Фишинг — остается «долгоиграющим» методом о получения мошенниками текстовых данных о банковских картах пользователей. Конкуренция в этом сегменте растет: атакующие стали использовать панели для управления веб-инжектами и автозаливом, которые раньше были прерогативой банковских троянов. Разработчики фишинг-китов начали больше внимания уделять самозащите: они используют блокировку подсетей вендоров по безопасности, хостинг компаний, отдают фишинговый контент только с IP-адресов региона, где находятся их жертвы, перенаправляют на легитимные сайты, проверяют аномальные user-agent.