- Joined
- Jan 19, 2011
- Messages
- 7,650
- Contests
- 0
- Reaction score
- 109
«Киберпреступность замедляет экономику, разрушает человеческие жизни, убивает хорошие идеи, приводит к конфликтам, коррупции и несправедливости», — убежден Дмитрий Волков, сооснователь и генеральный директор Group-IB. Нетерпимость к киберпреступности — zero-tolerance for cybercrime — один из главных принципов в компании, которую он сейчас возглавляет. Вот уже 10 лет подряд Group-IB проводит международную конференцию CyberСrimeCon, на которой представители ведущих мировых вендоров из сферы кибербезопасности, правоохранительных органов, Интерпола и Европола, обсуждают тенденции развития киберкриминальной индустрии, анализируют хакерские атаки и делятся прогнозами, как изменится ландшафт угроз для мировой экономики. Все последние новости и инсайды о киберпреступности — с полей CyberСrimeCon. Экосистема вымогателей
Киберугрозой №1 для бизнеса, по словам Дмитрия Волкова, второй год подряд являются ransomware — программы-вымогатели. В отличие от некогда популярных целевых атак на банки этот криминальный бизнес сравнительно прост и легко масштабируется — злоумышленники проникают в инфраструктуру компаний, шифруют (а в некоторых случаях и похищают) их данные, а затем требуют выкуп. Суммы превышают десятки, а порой и сотни миллионов долларов.
Например, только в России количество атак шифровальщиков в 2021 году увеличилось на 200%. Здесь рекорд по максимальной сумме запрашиваемого выкупа — 250 млн рублей поставила группировка OldGremlin, хотя до «мирового рекорда» вымогателей из Hive, рассчитывающих получить от немецкого холдинга MediaMarkt $240 млн (по курсу ЦБ РФ на 20/12 — ок. 17,8 млрд руб.), им еще далеко.
Dharma, Crylock и Thanos — три наиболее активных шифровальщика, атаковавших бизнес на территории постсоветского пространства, в общей сложности они совершили более 300 атак.
Впрочем, вымогателей интересуют не только деньги. В своем докладе на CyberСrimeCon Антонио Пироцци, руководитель группы по анализу киберугроз SentinelOne, назвалEvil Corp «одной из самых опасных хакерских группировок [в мире], являющейся одновременно и киберпреступной, и шпионской».
Эксперты Group-IB отмечают три фактора, из-за которых число атак и доходы операторов программ-шифровальщиков растут фантастическими темпами. Первый — это популярность так называемых партнерских программ (Ransomware-as-a-Service), куда группировки привлекают партнеров, делясь с ними процентом от выкупа. Всего за 2020 и 2021 годы появились 34 новые партнерские программы. Как рассказал Волков, популярность этого криминального бизнеса выросла настолько, что сами владельцы хакерских форумов выступили против активной рекламы программ-шифровальщиков «No more ransom!», чтобы привлекать внимание правоохранителей и журналистов к своему теневому бизнесу.
Второй — рост числа Data Leak Site. Это ресурсы в даркнете, где операторы шифровальщиков выкладывают скомпрометированные данные компаний, если жертва не хочет платить выкуп. Число таких ресурсов за год (с середины 2020-го по середину 2021-го) выросло в два раза — с 13 до 28. А вот число компаний, чьи данные появились на таких сайтах, выросло на 935% — до 2371. При этом в Group-IB отмечают, что на такие сайты выкладывают данные только 10% атакованных компаний, а около 30% жертв вымогателей предпочитают... платить.
Как рассказал Волков, лидером по количеству жертв, выложенных операторами программ-шифровальщиков на DLS, по-прежнему являются США (49,2%). За ними следуют Канада, Франция и Великобритания. А вот среди индустрий явного лидера нет, но среди самых атакуемых — производство (9,6%), недвижимость (9,5%) и транспорт (8,2%). Самой агрессивной группой по числу выкладываемых на DLS-сайты данных является Conti — на ее счету 361 компания-жертва. Хотя в прошлом году лидерами были Maze (259) и Egregor (204), которых сейчас в топ-5 группировок не оказалось.
Эксперты Group-IB отмечают три фактора, из-за которых число атак и доходы операторов программ-шифровальщиков растут фантастическими темпами. Первый — это популярность так называемых партнерских программ (Ransomware-as-a-Service), куда группировки привлекают партнеров, делясь с ними процентом от выкупа. Всего за 2020 и 2021 годы появились 34 новые партнерские программы. Как рассказал Волков, популярность этого криминального бизнеса выросла настолько, что сами владельцы хакерских форумов выступили против активной рекламы программ-шифровальщиков «No more ransom!», чтобы привлекать внимание правоохранителей и журналистов к своему теневому бизнесу.
Второй — рост числа Data Leak Site. Это ресурсы в даркнете, где операторы шифровальщиков выкладывают скомпрометированные данные компаний, если жертва не хочет платить выкуп. Число таких ресурсов за год (с середины 2020-го по середину 2021-го) выросло в два раза — с 13 до 28. А вот число компаний, чьи данные появились на таких сайтах, выросло на 935% — до 2371. При этом в Group-IB отмечают, что на такие сайты выкладывают данные только 10% атакованных компаний, а около 30% жертв вымогателей предпочитают... платить.
Как рассказал Волков, лидером по количеству жертв, выложенных операторами программ-шифровальщиков на DLS, по-прежнему являются США (49,2%). За ними следуют Канада, Франция и Великобритания. А вот среди индустрий явного лидера нет, но среди самых атакуемых — производство (9,6%), недвижимость (9,5%) и транспорт (8,2%). Самой агрессивной группой по числу выкладываемых на DLS-сайты данных является Conti — на ее счету 361 компания-жертва. Хотя в прошлом году лидерами были Maze (259) и Egregor (204), которых сейчас в топ-5 группировок не оказалось.
Один из основных факторов успеха шифровальщиков — сотрудничество с брокерами, которые продают вымогателям доступы в сети атакованных компаний.
Партнеры повсюдуБрокеры первичного доступа — это участники партнерских программ, чаще всего профессиональные пентестеры, которые ищут уязвимости в инфраструктуре компаний, а затем перепродают их операторам шифровальщиков. Как заметил Волков, этот сегмент андеграунда активно растет. За отчетный период специалисты Group-IB обнаружили 229 брокеров, хотя в прошлом году их было 86. «Мы находимся лишь в начале истории. В будущем мы увидим больше брокеров. И конкуренция между ними снизит цену за начальный доступ [в инфраструктуру]», — предупреждает Волков.
По оценке Group-IB, объем рынка продажи доступов в сети скомпрометированных компаний составляет более $7 млн (ок. 520 млн руб.).
За последние месяцы на продажу было выставлено более 1000 доступов к сетям компаний. А 35% всех доступов было продано пятью основными брокерами. По словам Волкова, атаки по странам совпадают с программами-шифровальщиками, но есть разница в индустриях. Здесь самый популярный сегмент — правительственный сектор. «В дарквебе есть спрос на такие данные», — рассказал Волков. Отдельно Group-IB выделяет финансовый сектор. Здесь количество продавцов доступов к инфраструктуре финансовых организаций выросло с 18 до 47, а число продаваемых доступов выросло на 203% — с 31 до 95.
Интересный момент: большинство брокеров первичного доступа — русскоязычные. Отсюда наименьшее число атак в России и СНГ, так злоумышленники пытаются избежать ареста. Другую любопытную деталь в своем выступлении отметить руководитель группы исследования киберпреступности в Group-IB Дмитрий Шестаков. По его словам, до 2017 года услуги брокеров начального доступа были не столь популярны — хакеры не очень понимали, как на этом можно заработать. До мировых эпидемий шифровальщиков WannaCry, NotPetya и BadRabbit вирусы-шифровальщики атаковали в основном физических лиц. И только после 2017-го операторы шифровальщиков в качестве целей выбрали крупный и средний бизнес, началась охота на крупную дичь — Big Game Hunting.
Одним из тех, кто вывел продажу доступов в инфраструктуру компаний на новый уровень, был хакер Fxmsp. По словам Шестакова, именно он стал продавать доступы на регулярной основе. «Он понял, что его целевая аудитория — группировки хакеров-вымогателей. И он как хороший рекламщик выкладывал именно ту информацию, которая могла заинтересовать их», — рассказывает Шестаков. Хакер Fxmsp смог получить доступ к 135 компаниям в 44 странах, а его заработок оценивают в $1,5 млн (ок. 111,4 млн руб.). Правда, в 2019-м он прекратил публичную активность, но его так и не поймали.
Новая жизнь старой угрозыФишинговые ресурсы, с помощью которых злоумышленники пытаются украсть деньги или конфиденциальную информацию, — чаще всего данные банковских карт, хотя и являются одной из старейших киберугроз, до сих пор актуальны. Дополнительный толчок развитию фишинга, как рассказывает Волков, дала пандемия, из-за которой люди стали намного чаще совершать интернет-покупки. В сети появляются клоны популярных маркетплейсов, сервисов доставки или платежных систем, которые подменяют данные о реальном торговце, тем самым обманывая банки и забирая деньги покупателей себе. По словам Волкова, ежедневно Group-IB фиксирует в России около 1400 фальшивых трансакций.
По оценкам экспертов Group-IB, существует около 70 фишинговых и мошеннических партнерских программ.
«Злоумышленники, занимающиеся фишингом, адаптируются. Они меняют стратегию и тактику в зависимости от ситуации. Из-за пандемии очень много людей пользуются онлайн-покупками, отсюда рост фишинговых угроз», — признает Хорхе Розаль Косано, руководитель отдела AP Terminal, Европейского центра по борьбе с киберпреступностью, Европол. Он обращает внимание и на еще один вид фишинга — мошенничество в инвестиционной сфере. По его словам, появилось очень много фейковых сайтов, нацеленных на владельцев криптовалют.
Драйвером роста этого рынка тоже являются партнерские программы. Как рассказывает Волков, аналитики Group-IB обнаружили около 70 партнерских программ по фишингу, которые активно ищут партнеров. При этом за год они создали около 2000 сообщений о поиске партнеров на форумах. А 40 самых популярных партнерских программ смогли привлечь около 5000 новых мошенников. «Все это открывает новые возможности для того, чтобы мошенники могли скомпрометировать как можно больше данных», — отмечает Волков.
Управление таким числом партнеров требует автоматизации. По словам CEO Group-IB, такой платформой стал мессенджер Telegram. «Telegram-боты позволяют автоматизировать много рутинных задач — регистрация и инструктаж новых партнеров, уведомления о платежах, сбор скомпрометированной информации и т. д.», — рассказывает Волков. Если год назад Telegram использовали 0,88% партнерок, то теперь его доля 6,6%. «Мы предполагаем, что не только Telegram, но и другие мессенджеры с ботами будут использоваться мошенниками в будущем. Это позволит партнеркам развиваться быстрее, а отслеживать их станет сложнее», — говорит гендиректор Group-IB.
Сменились вкусыДрайвером роста этого рынка тоже являются партнерские программы. Как рассказывает Волков, аналитики Group-IB обнаружили около 70 партнерских программ по фишингу, которые активно ищут партнеров. При этом за год они создали около 2000 сообщений о поиске партнеров на форумах. А 40 самых популярных партнерских программ смогли привлечь около 5000 новых мошенников. «Все это открывает новые возможности для того, чтобы мошенники могли скомпрометировать как можно больше данных», — отмечает Волков.
Управление таким числом партнеров требует автоматизации. По словам CEO Group-IB, такой платформой стал мессенджер Telegram. «Telegram-боты позволяют автоматизировать много рутинных задач — регистрация и инструктаж новых партнеров, уведомления о платежах, сбор скомпрометированной информации и т. д.», — рассказывает Волков. Если год назад Telegram использовали 0,88% партнерок, то теперь его доля 6,6%. «Мы предполагаем, что не только Telegram, но и другие мессенджеры с ботами будут использоваться мошенниками в будущем. Это позволит партнеркам развиваться быстрее, а отслеживать их станет сложнее», — говорит гендиректор Group-IB.
Несмотря на бурный рост программ-шифровальщиков, крупнейшим по объему денег считается сегмент кардинга — воровство данных банковских карт. Но в этом году этот рынок заметно просел — на 26%, с $1,9 млрд (ок. 141 млрд руб.) до $1,4 млрд (ок. 104 млрд руб.). Этот рынок состоит из двух частей — продажи дампов (содержимого магнитных полос карт) и текстовых данных (номер, имя, код CVV). Падение произошло во многом за счет сегмента дампов. Во-первых, был закрыт крупный магазин Joker's Stash, а во-вторых, средняя цена дампа заметно упала — $21,88 до $13,84.
Правда, сегмент текстовых данных банковских карт продолжил расти — на 36%. Там выросла и средняя цена — с $12,78 до $15,2. «Из-за коронавируса увеличилось количество онлайн-покупок. А поскольку онлайн-платформы недостаточно защищены, мошенники могут с помощью JS-снифферов украсть данные банковских карт», — отметил в своем докладе Хорхе Розаль Косано из Европола. По его словам, в рамках полицейской операции Carding Action 2021 Group-IB второй год подряд передает полицейским платежные данные скомпрометированных банковских карт, в итоге удалось предотвратить ущерб банков Европы на €54 млн.
На этом фоне практически исчезли целевые атаки на финансовые учреждения, хотя еще несколько лет назад это был основной способ для криминальной хакерской группы заработать десятки миллионов долларов. Исключением стали два региона — Россия и Африка. «В России, скорее всего, за атакой стоит известная группа, которая вернулась после долгой паузы, — рассказал сооснователь Group-IB. — В Африке мы обнаружили злоумышленников, которые сфокусированы на местных банках. Эта группировка не сильно развита, но весьма эффективна».
Не нужно бояться На этом фоне практически исчезли целевые атаки на финансовые учреждения, хотя еще несколько лет назад это был основной способ для криминальной хакерской группы заработать десятки миллионов долларов. Исключением стали два региона — Россия и Африка. «В России, скорее всего, за атакой стоит известная группа, которая вернулась после долгой паузы, — рассказал сооснователь Group-IB. — В Африке мы обнаружили злоумышленников, которые сфокусированы на местных банках. Эта группировка не сильно развита, но весьма эффективна».
Как правоохранительные органы могут повысить эффективность своей борьбы с хакерами? Об этом в своем выступлении подробно говорил Крейг Джонс, директор по расследованию киберпреступлений из Интерпола. Киберпреступность трансгранична — она может атаковать цели из любой точки мира. А вот правоохранительные органы по-прежнему проводят свои расследования исключительно на ********************ональном уровне, локально. «Пока они не делятся информацией и данными с международными партнерами, киберпреступники пользуются этим», — констатирует Джонс.
Кроме того, многие расследования наталкиваются на межгосударственные и законодательные противоречия, недостаточное техническое развитие разных стран. «Нам нужно доверять друг другу. Не нужно бояться делиться [данными], — убежден Джонс. — В Интерполе наша модель доверия строится на сотрудничестве с государственными и частными партнерами. И частные партнеры могут быть более эффективными: отчеты, которые публикуют частные компании, зачастую лучше тех, что выпускают правоохранительные органы».
В качестве успешного примера сотрудничества представитель Интерпола привел совместные международные операции с участием Group-IB — Falcon и Lyrebird. В первом случае в конце 2020 года полиция *************************ии совместно с Group-IB ликвидировала преступную группу, которая скомпрометировала около 500 000 государственных и частных компаний из 150 стран мира.
Во втором — в мае 2021 года в Марокко местной полицией был задержан злоумышленник, известный в сети как DrHeX. Начиная с 2009 года он занимался фишингом, дефейсом сайтов, разработкой вредоносного программного обеспечения, мошенничеством и кражей данных банковских карт.
А вот третья операция — Cyclone, в ходе которой Интерполу удалось обнаружить и захватить на Украине серверы операторов вируса-шифровальщика Conti, атаковавшего Министерство здравоохранения Ирландии, еще не закончена. Значит, экспертам будет о чем рассказать на следующей конференции CyberСrimeCon 2022.
Кроме того, многие расследования наталкиваются на межгосударственные и законодательные противоречия, недостаточное техническое развитие разных стран. «Нам нужно доверять друг другу. Не нужно бояться делиться [данными], — убежден Джонс. — В Интерполе наша модель доверия строится на сотрудничестве с государственными и частными партнерами. И частные партнеры могут быть более эффективными: отчеты, которые публикуют частные компании, зачастую лучше тех, что выпускают правоохранительные органы».
В качестве успешного примера сотрудничества представитель Интерпола привел совместные международные операции с участием Group-IB — Falcon и Lyrebird. В первом случае в конце 2020 года полиция *************************ии совместно с Group-IB ликвидировала преступную группу, которая скомпрометировала около 500 000 государственных и частных компаний из 150 стран мира.
Во втором — в мае 2021 года в Марокко местной полицией был задержан злоумышленник, известный в сети как DrHeX. Начиная с 2009 года он занимался фишингом, дефейсом сайтов, разработкой вредоносного программного обеспечения, мошенничеством и кражей данных банковских карт.
А вот третья операция — Cyclone, в ходе которой Интерполу удалось обнаружить и захватить на Украине серверы операторов вируса-шифровальщика Conti, атаковавшего Министерство здравоохранения Ирландии, еще не закончена. Значит, экспертам будет о чем рассказать на следующей конференции CyberСrimeCon 2022.