Подписаться
Читать в телеграм
Читать на Facebook
Эволюция угроз в финансовой сфере
За год (Q2 2016 – Q1 2017) в России и СНГ в результате хищений в интернет-банкинге у юридических лиц с использованием вредоносных программ было украдено почти $10,4 млн, а в ходе целевых атак на банки – более $27 млн. По сравнению с предыдущим периодом (Q2 2015 – Q1 2016) оба показателя снизились на 35%, тем не менее атаки на финансовые организации продолжают приносить киберперступникам наибольший доход.
Одновременно эксперты Group-IB отметили новую тенденцию: основной опасностью для банков, оказавшихся мишенями хакерских атак, становится не столько воровство денег, сколько разрушение ИТ-инфраструктуры – таким способом киберпреступники пытаются замести следы целенаправленной атаки. Ущерб от таких действий может даже превышать ущерб от хищения денежных средств. Кроме того, на банковскую инфраструктуру все чаще покушаются хакеры, спонсируемые государством. Их главная цель – нанесение максимального ущерба банковской системе другой страны.
Программы-вымогатели, шифрующие данные, все чаще стали использоваться не «по основному назначению», а для отвлечения внимания от основного инцидента. А в начале 2017 г. эксперты зафиксировали первые случаи применения хакерами шифровальщиков для уничтожения следов своего присутствия, чтобы затруднить расследование.
Быстро растет ущерб от банковских троянов под ОС Android. В России и СНГ он за год увеличился на 136%, почти на треть перекрыв ущерб от троянов для ПК.
Заметен стал ущерб от фишинговых атак на клиентов банков и платежных систем. Пока этот ущерб значительно меньше, чем от банковских троянов, однако киберпреступники сумели автоматизировать фишинг и выполнять его без своего непосредственного участия в каждой краже. За счет этого схема упрощается, и все большее количество преступников начинают ее использовать. По данным Group-IB, ежедневно жертвами финансового фишинга в России становятся более 900 клиентов банков. Около 10–15% посетителей фишинговых сайтов попадаются на уловку преступников и вводят свои данные.
Бестелесные вредоносы
Новый (и теперь уже основной) принцип проведения атак – использование «бестелесных» (fileless) программ и вредоносных скриптов, помогающих хакерам оставаться незамеченными. «Бестелесные» программы не зависят от файлов на жестком диске, они работают только в оперативной памяти и уничтожаются после перезагрузки. Их сложно обнаружить стандартными средствами антивирусной защиты, кроме того, отсутствие файлов в системе затрудняет процессы реагирования на инцидент и расследования.
Вредоносный скрипт также сложно обнаружить с помощью антивируса, а то, что скрипты легко модифицировать, упрощает задачу атакующих. С помощью скриптов хакерам легко обеспечить персистентность (закрепление в системе). Обычно вредоносные функции скрипта активируются при выполнении некоего штатного процесса в системе (например, начальной загрузки), и их главная задача – загрузить основную вредоносную программу из внешнего или локального источника и запустить ее. В будущем стоит ожидать увеличения количества заскриптованных атак.
Атаки на криптовалютные сервисы
Такие атаки привлекают киберпреступников своей высокой доходностью. По данным отчета, суммарный ущерб от целевых хакерских атак на криптоиндустрию составил более $168 млн, в то время как в результате успешной атаки на банк преступники зарабатывают в среднем $1,5 млн. Помимо этого злоумышленники имеют возможность использовать преимущества анонимности, которая лежит в основе индустрии криптовалют, а также более простые механизмы отмывания и обналичивания украденных денежных средств.
Особенно привлекательны для хакеров финтех-стартапы, выходящие на ICO. Для атак на них злоумышленники используют широкий набор техник – от банального фишинга и перехвата контроля над доменами до уязвимостей в исходных кодах и целенаправленных атак с целью получения доступа в локальную сеть компании. Поэтому выход на ICO требует от стартапа тщательной подготовки, в том числе проработки вопросов безопасности.
В частности, стартапам следует уделять больше внимания безопасности веб-сайтов. Получив доступ к незащищенному сайту, мошенники заменяют адрес кошелька и собирают деньги, переводимые инвесторами в рамках ICO. Инвесторам также следует не терять бдительность: участились случаи создания фишинговых сайтов, полностью копирующих контент сайтов компаний, выходящих на ICO, и отличия можно заметить только в доменной зоне.
Фиксируется также рост количества инцидентов, связанных с воровством у пользователей данных криптокошельков с помощью вредоносных программ. Для этого используются те же методы, что и для атак на банковские приложения. Кроме вредоносных программ злоумышленники активно используют компрометацию адресов электронной почты, а также получение SIM-карты по поддельным документам для восстановления паролей и получения контроля над счетами в криптовалютных сервисах.
По мнению экспертов Group-IB, повышенный интерес к криптовалютной индустрии неизбежно приведет к росту количества атак со стороны не только финансово мотивированных хакеров, но и группировок, спонсируемых государствами. Они будут пытаться использовать новый финансовый инструмент как для получения дополнительных доходов, так и для общего мониторинга ситуации на криптовалютном рынке.
