Group-IB исследовала ключевые изменения, произошедшие в сфере киберпреступлений в мире и дала прогноз по развитию киберугроз на предстоящий год. Аналитики резюмируют: наибольший финансовый ущерб был зафиксирован вследствие атак вирусов-шифровальщиков.
Итогом тяжелого периода для мировых экономик стал расцвет рынка продажи доступов в скомпрометированные сети компаний. Вместе с тем, более чем в два раза вырос объем рынка по продаже краденых банковских карт. В гонке противостояния проправительственных хакерских групп появились новые игроки, а считавшиеся сошедшими со сцены — возобновили атакующие действия.
Отчет Hi-Tech Crime Trends 2020-2021 исследует разные аспекты функционирования киберкриминальной индустрии, анализирует атаки и прогнозирует изменение ладшафта угроз для различных отраслей экономики: финансовой, телекоммуникационной, ритейла, производства, энергетики. Также авторы отчета анализируют кампании, развернутые против объектов критической инфраструктуры, которые все чаще становятся целью для спецслужб разных государств.
Hi-Tech Crime Trends 2020-2021 предназначен для экспертов по риск-менеджменту, специалистов по стратегическому планированию задач в области кибербезопасности, представителей советов директоров, отвечающих за цифровые трансформации и инвестирование в защиту информационных систем.
Для ИТ-директоров, руководителей команд кибербезопасности, SOC-аналитиков, специалистов по реагированию на инциденты отчет Group-IB является практическим руководством стратегического и тактического планирования, предлагая аналитические инструменты, которые помогают корректировать и настраивать системы безопасности корпоративных и государственных сетей.
Прогнозы и рекомендации Hi-Tech Crime Trends 2020-2021 направлены на сокращение финансовых потерь и простоев инфраструктуры, а также на принятие превентивных мер по противодействию целевым атакам, шпионажу и кибертеррористическим операциям.
Конец 2019 и весь 2020 год захлестнула новая волна программ-шифровальщиков. Большинство вымогателей сфокусировались на атаках компаний коммерческого и государственного секторов. Жертвой таких атак может стать любая компания, независимо от масштабов и отрасли, главный критерий для атакующих — финансовая выгода. При этом при отсутствии необходимого технического инструментария и возможностей восстановления данных, атака шифровальщика может привести не только к простою, но и к полной остановке деятельности организации. Всего за последний год публично известно о более чем 500 публичных атаках шифровальщиков на компании в более чем 45 странах мира. Нижняя граница суммарного ущерба от действий программ-вымогателей, по оценкам Group-IB, составляет более одного миллиарда долларов ($1 005 186 000). Однако реальный ущерб многократно выше: зачастую пострадавшие компании предпочитают замалчивать инцидент, заплатив вымогателям, либо атака не сопровождается публикацией данных из сети жертвы.
Наиболее популярными целями вымогателей были компании из США: на них пришлось около 60% всех известных атак. Доля атак в странах Европы составила около 20%. Порядка 10% пришлось на страны Северной и Южной Америки (за исключением США) и Азии (7%). В топ-5 наиболее атакуемых отраслей входят производство (94 жертвы), ритейл (51 жертвы), государственные учреждения (39 жертвы), здравоохранение (38 жертв), строительство (30 жертв).
Наиболее опасными шифровальщиками с конца 2019 года являются Maze и REvil — на них приходится более 50% успешных атак. Во втором эшелоне идут Ryuk, NetWalker, DoppelPaymer.
Стимул для расцвета эры шифровальщиков дали приватные и публичные партнерские программы, что привело к опасному симбиозу вымогателей со злоумышленниками, которые специализируются на компрометации корпоративных сетей. Операторы шифровальщиков выкупают доступ и атакуют жертву. После того как та выплачивает выкуп, процент от этой суммы получает партнер. Исследователи выделяют такие векторы взлома сетей, как вредоносные рассылки, подбор паролей к интерфейсам удаленного доступа (RDP, SSH, VPN), вредоносные программы (например, загрузчики), а также использование новых типов бот-сетей (брутфорс ботнет), назначение которых — распределенный подбор паролей с большого количества зараженных устройств, в том числе серверов.
С конца 2019 года вымогатели взяли на вооружение новую технику: перед шифрованием они копируют всю информацию компании-жертвы на свои серверы с целью дальнейшего шантажа. Если жертва не заплатит выкуп, она не только потеряет данные, но и увидит их в открытом доступе. В июне 2020 года REvil начали проводить аукционы, где в качестве лотов выступали украденные данные.
В отчете Hi-Tech Crime Trends 2020-2021 приводятся рекомендации по противодействию атакам шифровальщикам, как в части технологических мер для служб информационной безопасности, так и в части повышения экспертизы команд кибербезопасности в целях борьбы с этой угрозой.
Уходящий год показал, что все чаще шпионаж сменяется активными попытками уничтожения объектов инфраструктуры. Военные операции становятся более явными, а акценты смещаются со шпионажа на уничтожение инфраструктуры. Арсенал атакующих активно пополняется инструментами для атак на физически изолированные сети объектов критической инфраструктуры. Очевидной целью атакующих становится ядерная энергетика. Если в прошлом году в публичном пространстве не было зафиксировано ни одной атаки, то в этом инциденты произошли на ядерных объектах Ирана и Индии. Еще одной резонансной атакой стала попытка диверсии в Израиле, где целью стали системы водоснабжения, в которых хакеры пытались изменить уровень содержания хлора. Успех этой атаки мог привести к серьезной нехватке воды и потерям среди гражданского населения. При этом прогосударственные группы не теряют интереса к телекоммуникационному сектору: за анализируемый период здесь проявляли активность 11 групп, связанных с спецслужбами. Задачами злоумышленников по-прежнему остаются шпионаж за телекомоператорами и попытки вывода их инфраструктуры из строя. В частности, были установлены новые рекорды мощности DDoS атак: 2,3 Тб/с и 809 млн пакетов в секунду. Значительной проблемой остается перехват или утечка BGP-маршрутов. За последний год было публично зафиксировано девять таких инцидентов.
На карте гонки киберпротивостояния спецслужб наибольшее количество групп сосредоточено в Китае – 23, в Иране — 8 групп, в Северной Корее и России — по 4 группы, в Индии – 3 группы, в Пакистане и Секторе Газа — по 2 группы. Замыкают антирейтинг Вьетнам, Турция и Южная Корея – по одной группе в каждой стране.
Согласно проанализированным данным Group-IB, самым атакуемым за отчетный период стал Азиатско-Тихоокеанский регион, к которому проявляли интерес проправительственные группы из Китая, Северной Кореи, Ирана и Пакистана: суммарно 34 кампании было проведено в данном регионе. На втором месте Европейские страны (22 кампании), которыми в основном интересовались группы из Китая, Пакистана, России и Ирана. Далее следуют Средний Восток и Африка: здесь было проведено 18 кампаний, в основном, хакерами из Ирана, Пакистана, Турции, Китая и Газы. Россия и США – наименее атакуемые державы. Согласно аналитике, приведенной в отчете, 15 кампаний было проведено в США и 9 в России. Состав атакующих при этом схож для обеих стран – в основном, это группы из Китая, Северной Кореи и Ирана. В России зафиксирована одна атака Казахстанских спецслужб, США атаковали также хакеры из Сектора Газа и Пакистана.
Также аналитиками было обнаружено семь ранее неизвестных APT-групп, среди них: Tortoiseshell (Иран), Poison Carp (Китай), Higaisa (Южная Корея), AVIVORE (Китай), Nuo Chong Lions (Саудовская Аравия), а также Chimera и WildPressure, принадлежность которых к какой-либо стране остается не установленной. Кроме того, выявлена новая активность шести групп, которые оставались незамеченными последние несколько лет. Это лишний раз показывает, что не стоит недооценивать APT-группы и их изощренность.
Объем продаваемых на даркнет-форумах доступов к корпоративным сетям компаний увеличивается ежегодно, однако пик пришелся на 2020 год. Оценить общий объем рынка продажи доступов в андеграунде достаточно сложно: злоумышленники часто не публикуют цены, а сделки происходят «в привате». Однако технологии Group-IB по исследованию таких площадок, в том числе с учетом удаленной и скрытой злоумышленниками информации, позволили оценить общий размер рынка в текущем периоде (H2 2019 — H1 2020) в $6 189 388, что в четыре раза больше прошлого периода (H2 2018 — H1 2019), когда он составлял $1 609 930.
Новой тенденцией стало участие в этом «бизнесе» прогосударственных групп, стремящихся найти дополнительное финансирование: они также начинают продавать доступы в корпоративные сети. Так, летом 2020 года были опубликованы лоты о продаже доступов к большому количеству сетей, включая государственные ведомства США, оборонных подрядчиков (Airbus, Boeing, Raytheon и др.), ИТ-гигантов и медиакомпаний. Суммарно за лоты автор поста просил около $5 млн.
Только за первое полугодие 2020 хакерами было выставлено на продажу 277 лотов по продаже доступов к взломанным корпоративным сетям компаний. Количество продавцов также выросло до 63, из них 52 начали свою активность в этом году. Для сравнения в 2018 году активными были только 37 продавцов доступов. В 2019 году всего 50 продавцов выставили на продажу доступы к 130 компаниям. Суммарно рост продаж доступов в скомпрометированные сети компаний составил 162% относительно прошлогоднего периода (138 предложений против 362-х в текущем). Анализируя сегмент продажи доступов, аналитики Group-IB прослеживают географическую и отраслевую корреляции с атаками шифровальщиков: наибольшее количество лотов было выставлено по американским компаниям (27%), а наиболее атакуемой отраслью в 2019-м оставалось производство (10,5%), а 2020-й принес спрос на доступы в государственные организации (10,5%), образовательные учреждения (10,5%) и ИТ-компании (9%). Стоит отметить, что продавцы такого «товара» на хакерских форумах все реже указывают такие атрибуты как название компании, локацию или отрасль, благодаря чему установить жертву и ее расположение часто невозможно без взаимодействия с атакующими. Продажа доступа в компанию, как правило, является лишь этапом в реализации атаки: полученные привилегии могут быть использованы как для запуска программы-шифровальщика с последующим вымогательством, так и для кражи данных с целью продажи на даркнет-форумах или шпионажа.
Объем рынка кардинга за исследуемый период вырос на 116% —с $880 млн до $1,9 млрд — по сравнению с прошлым годом. Высокие темпы роста характерны как для текcтовых данных (номер, дата истечения, имя держателя, адрес, CVV) и дампов (содержимое магнитных полос карт). Количество предлагаемых к продаже текстовых данных выросло на 133% — с 12,5 до 28,3 млн карт, а дампов на 55% —с 41 млн до 63,7 млн. Средняя цена за текстовые данные банковской карты — $12, дампы — $17. Максимальная цена за текст – 150$, за дамп – 500$.
Основным способом компрометации данных магнитной полосы является заражение компьютеров с подключенными POS-терминалами специальными троянами, собирающими данные из оперативной памяти. За отчетный период была выявлена активность 14 троянов, используемых для этих целей. Основной целью мошенников являются банковские карты, выпущенные банками США: на их долю приходится более 92% всех взломанных карт, затем с большим отрывом идут Индия и Южная Корея. За исследуемый период объем рынка дампов вырос с $700 млн на 119% и достиг $1, 5 млрд.
Текстовые данные воруют с помощью фишинговых сайтов, банковских троянов под ПК, Android, а также в результате взломов сайтов электронной коммерции и использования JavaScript-снифферов. Каждое семейство JS-снифферов – это совокупность семплов с незначительными отличиями в коде, которые внедряются злоумышленниками на сайт для перехвата вводимых пользователем данных — номеров банковских карт, имен, адресов, логинов, паролей и др. За прошедший год именно использование JS-снифферов для кражи банковских карт стало одним из основных способов получения больших объемов платежной информации. На их рост также повлиял тренд на перепродажу доступов к различным сайтам и организациям в даркнете. Всего на данный момент специалистами Group-IB отслеживается 96 семейств JS-снифферов, что в 2,5 раза больше, чем в прошлом году, когда было было известно только о 38 семействах. В целом, по данным Group-IB, за прошедший год было обнаружено почти 460 тыс. банковских карт, скомпрометированных при помощи JS-снифферов. В целом за исследуемый период объем рынка текстовых данных банковских карт вырос с $179 млн на 101% и достиг $361.
Угроза кражи данных банковских карт наиболее актуальна для классического ритейла, имеющего онлайн-канал продаж, для eCommerce-компаний, продающих продукты и услуги через Интернет, а также для банков, которые оказываются вовлечены в инцидент, как с точки зрения нивелирования последствий для своих клиентов, так и в части потенциальных мер со стороны регуляторов.
Основные схемы получения банковских карт и атакуемые страны (США, Индия, Южная Корея и др.) останутся без изменений. Новым регионом с растущей активностью кардеров может стать Латинская Америка, где уже достаточно сильны сообщество хакеров и опыт использования троянов для этих целей.
В анализируемый период было выявлено и заблокировано на 118% больше фишинг-ресурсов, чем ранее. Аналитики объясняют этот рост несколькими причинами, главная из которых — пандемия: веб-фишинг как одна из наиболее простых схем заработка привлекла внимание большей аудитории, лишившейся доходов. Увеличение спроса на покупки через интернет сыграло на руку фишерам: они быстро подстроились под новую реальность и начали проводить фишинговые атаки на сервисы и отдельные бренды, которые ранее не имели для них особого экономического эффекта.
Заметна и смена тактики. В предыдущие годы злоумышленники прекращали свои кампании после блокировки мошеннических веб-ресурсов и переключались на другие бренды. Сегодня они автоматизируют атаку, выводя новые фишинговые единицы на смену заблокированным.
С начала года наблюдается рост продвинутой социальной инженерии, где в фишинговой атаке применяются многоходовые сценарии. В таких набирающих популярность фишинговых схемах жертву предварительно прорабатывают — устанавливают с ней контакт (например, посредством мессенджера), создают вокруг нее атмосферу легитимности действий и только после этого направляют на фишинговую страницу. Трендом этого года стало использование одноразовых ссылок. Пользователь получает уникальную ссылку, которая становится неактивной после первого открытия. Если он перешел по ссылке хотя бы раз, то получить этот же контент повторно для сбора доказательной базы не получится. А без нее процесс блокировки фишингового ресурса значительно усложняется.
Наибольшее количество фишинга было создано под онлайн-сервисы (39,6%). Сюда входит фишинг для сбора учетных записей Microsoft, Netflix, Amazon, eBay, Valve Steam и т.п. Далее следуют почтовые сервисы (15,6%), финансовые учреждения (15%), облачные хранилища (14,5%), платежные сервисы (6,6%) и «новичок» списка – букмекерские конторы (2,2%). Практически исчезли фишинг-ресурсы, нацеленные на криптовалютные проекты в силу угасания интереса к ICO-проектам, которые на протяжении 2017–2018 годов были популярны у фишеров.