Group-IB, международная компания, специализирующаяся на предотвращении кибератак, зафиксировала резкий рост числа киберугроз и обозначила основные тенденции компьютерных преступлений в период пандемии COVID-19. Доклад Group-IB был представлен на международном форуме Академии Управления МВД РФ «Стратегическое развитие системы МВД России: состояние, тенденции, перспективы». Главным выводом исследования назван стремительный рост компьютерной преступности, в первую очередь, финансовых мошенничеств с использованиям социальной инженерии, а также эксплуатация темы COVID-19 во вредоносных рассылках, переключение операторов вирусов-шифровальщиков на крупные цели, а также активный рекрутинг в преступные сообщества новых участников.
Последствия пандемии COVID-19, перевод сотрудников на удаленный режим работы, сокращение персонала и финансовый кризис вызвали стремительный рост компьютерной преступности. По оценкам аналитиков Group-IB, в первую очередь, выросло число финансовых мошенничеств с использованием методов социальной инженерии. За январь-июнь, по данным МВД, рост киберпреступности составил 91,7% по сравнению с аналогичным периодом прошлого года. При этом число «классических преступлений» снижалось: уличных разбоев стало меньше на 23,6%, грабежей — на 20,7%, краж — на 19,6%, угонов машин — на 28,7%.
Одной из главных тенденций цифровой трансформации в Академии Управления МВД называют развитие дистанционных способов совершения преступлений, при которых отсутствует физический контакт между злоумышленниками и их жертвами — преступления ушли из офлайна в онлайн. Например, если до 2014 года сбыт наркотиков происходил «из рук в руки», то с развитием цифровых технологий наркоторговцы стали использовать исключительно электронные торговые площадки в даркнете, принимающие оплату в криптовалюте. Практически 70% зарегистрированных преступлений, связанных с незаконным оборотом оружия, в 2020 году совершалось с использованием Интернета — дистанционно и анонимно. Тоже самое касается незаконного сбыта поддельных денег, ценных бумаг и документов.
Финансовые мошенничества
На протяжении всего 2020 года Group-IB фиксировала рост числа финансовых мошенничеств с использованием социальной инженерии — вишинга, фишинга — жертвами которых становились, в основном, клиенты банков. Суммарно за 9 месяцев 2020 года CERT-GIB заблокировал 14 802 фишинговых ресурса, нацеленных на хищение денег и персональной информации посетителей сайтов (логины, пароли от аккаунтов и интернет-банков, данные банковских карт). Это больше, чем за прошлый год, когда были заблокированы 14 093 таких веб-ресурсов.
В Академии Управления МВД отмечают, что наиболее распространенным механизмом дистанционного мошенничества с применением техники социальной инженерии является традиционный звонок от «службы безопасности банка» якобы по поводу несанкционированной транзакции или взлома личного кабинета. При этом телефонные мошенники активно использовали технологии, связанные с подменой номеров и SIP-телефонией — звонками через интернет. При использовании анонимайзеров установить реальный IP-адрес злоумышленника довольно затруднительно. Появление в последнее время сервисов «по пробиву» клиентов банков, построенных на комбинировании методов OSINT и инсайдерского доступа к различным базам данных, увеличило объем информации о потенциальных жертвах, доступной для злоумышленников, и привело к увеличению количества атак.
При этом сами схемы реализации мошенничества фактически не изменились. Основной мотив киберпреступников — прежний: кража денег или информации, которую можно продать, но они приобрели новую «упаковку», адаптированную под актуальную повестку. Это продажа фейковых цифровых пропусков, рассылка сообщений о штрафах за нарушение карантина, липовые сайты курьерских служб, мошеннические рассылки от имени сервиса видеоконференций Zoom.
«На протяжении всего 2020 года Group-IB наблюдала активный набор в преступные мошеннические сообщества, — отметил Андрей Колмаков, руководитель департамента расследований инцидентов информационной безопасности Group-IB. —Порог входа существенно снизился: новых участников привлекают через Telegram-каналы и хакерские форумы с последующим обучением, и вступительными бонусами. В „серой зоне“ тоже быстро подстроились под требования рынка, так „билетная мафия“ переориентировала свои ресурсы на доставку продуктов питания и лекарств по завышенным ценам».
По словам эксперта, активно развивался и рынок криминальных услуг cybercrime-as-a-service, связанных со сдачей в аренду компьютерных сетей, зараженных вредоносным программным обеспечением (ботнетов) и используемых, например, при организации DDoS-атак, рассылке фишинговых писем и предоставлении proxy-серверов. Так же как и предложения по взлому мессенджеров и соцсетей, эти услуги рекламируются в Telegram и на хакерских форумах.
Атаки через почту и «Охота на крупную дичь»
В период пандемии электронная почта по-прежнему оставалась одним из основных векторов атак.
«Злоумышленники адресно атаковали переведенных на удаленку сотрудников, заражая их компьютеры вредоносными программами, через которые затем получали доступ в корпоративную сеть, — заметил Валерий Баулин, руководитель Лаборатории компьютерной криминалистики Group-IB. — Чаще всего перехваченные вредоносные рассылки, замаскированные в том числе и под сообщения о COVID-19, несли на борту» вложения с программами-шпионами или ссылки, ведущие на их скачивание, бэкдоры и загрузчики, которые впоследствии использовались для установки других вредоносных программ, в том числе банковских троянов или вирусов-шифровальщиков".
Популярность последних не случайна. В 2020 году подавляющее большинство преступных групп переключилось на работу с программами-шифровальщиками — злоумышленники поняли, что с их помощью можно заработать не меньше, чем в случае успешной атаки на банк, а техническое исполнение — значительно проще.
Текущий год дал жизнь еще большему количеству групп и партнерских программ, а также новым коллаборациям. Так операторы банковского трояна QakBot присоединились к "охоте за крупной дичью«(Big Game Hunting — атаки на крупные компании с целью получения значительного выкупа), воспользовавшись помощью криптолокера ProLock, а еще недавно активно атаковавшая банки и отели группа FIN7 присоединилась к партнерской программе вымогателя REvil. Размер выкупа также значительно увеличился: операторы криптолокеров нередко просят несколько миллионов долларов, а иногда — и несколько десятков миллионов. Несмотря на негласный запрет у киберпреступников «не работать по РУ», обнаруженная в 2020 году Group-IB группа OldGremlin, состоящая из русскоязычных хакеров, активно атакует исключительно российские компании — банки, промышленные предприятия, медицинские организации и разработчиков софта.
«Вопросы цифровой трансформации современной преступности являются, пожалуй, наиболее злободневными в повестке, но универсальных подходов, позволяющих эффективно противодействовать высокотехнологичной преступности, не выработано ни одним государством мира, — резюмировал Юрий Гаврилин, врио начальника кафедры управления органами расследования преступлений Академии управления МВД России. —Очевидно, что обозначенный тренд на дальнейшую цифровизацию криминальной деятельности будет в обозримом будущем оказывать определяющее воздействие на деятельность правоохранительных органов, включая МВД России, которое стоит на переднем краю борьбы с преступностью. От того, насколько эффективно правоохранительная система сможет противостоять этому вызову, зависит состояние правопорядка и защищенности прав и интересов граждан»..