Ущерб от кибератак на российскую финансовую сферу за год (H2 2017-H1 2018 гг) составил 2,96 млрд рублей, говорится в сообщении Group-IB, международной компании по расследованию киберпреступлений.
Согласно представленному на конференции CyberCrimeCon18 ежегодному отчету Group-IB «Hi-Tech Crime Trends 2018», в России в результате кибератак ежемесячно теряют деньги 1-2 банка, ущерб от одного успешного хищения составляет в среднем $2 млн.
«Финансовая мотивация по-прежнему превалирует среди APT-групп, однако хищение денег — не самое страшное, что может случиться с финансовой организацией, — говорит Илья Сачков, генеральный директор и основатель Group-IB. — Поскольку во многих странах мира банки являются объектами критической инфраструктуры, они оказались в числе мишеней для прогосударственных хакерских групп, специализирующейся на диверсиях и саботаже. Одна успешная кибератака может привести как к ликвидации самой кредитно-финансовой организации, так и коллапсу финансовой системы государства. В связи с этим банки должны пересмотреть подход к системе защиты от киберугроз: оборонительная стратегия уже себя исчерпала. Пора стать охотником, а не мишенью для атак».
В новом отчете эксперты Group-IB подробно рассказали о киберугрозах для финансового сектора — активных хакерских группах, тактике атакующих, векторах заражения и новых хакерских инструментах.
Целевые атаки на банки: активные группы и схемы вывода денег
Group-IB выделяет 4 преступных хакерских группы, представляющих реальную угрозу для финансового сектора: они способны не только проникнуть в сеть банка, добраться до изолированных финансовых систем, но и успешно вывести деньги через SWIFT, АРМ КБР, карточный процессинг и банкоматы. Речь идет о группах Cobalt, MoneyTaker, Silence, состоящих из русскоговорящих хакеров, а также о северокорейской Lazarus.
Для системы межбанковских переводов SWIFT представляют угрозу только две преступные группы: Lazarus и Cobalt, причем последняя в конце 2017 года впервые в истории российский финансовой сферы провела успешную целевую атаку на банк с использованием SWIFT. По оценкам Group-IB, количество целенаправленных атак на банки с целью хищения через SWIFT за отчетный период увеличилось в три раза. Если за прошлый прошлый период было зафиксировано всего три подобных атаки: в Гонконге, на Украине и в Турции, то в этом — прошло уже 9 успешных атак в Непале, Тайване, России, Мексике, Индии, Болгарии и Чили. Хорошая новость в том, что в случае со SWIFT, большую часть несанкционированных транзакций удается вовремя остановить и вернуть пострадавшим банкам.
Атаки на карточный процессинг по-прежнему являются одним из основных способов хищений и его активно используют хакеры из Cobalt, MoneyTaker, Silence. В феврале 2018 года участники Silence провели успешную атаку на банк и хищение денег через карточный процессинг: им удалось снять с карточек через банкоматы партнера банка 35 млн. рублей. Фокусировка атак на банкоматах и карточном процессинге привела к уменьшению среднего ущерба от одной атаки. Однако это позволяет атакующим проводить эти атаки более безопасно для «дропов», обналичивающих украденные деньги. Атакующие находятся в одной̆ стране, их жертва (банк) в другой, а обналичка происходит в третьей.
Выводом денег через АРМ КБР (автоматизированное рабочее место клиента Банка России) активно пользуется группа MoneyTaker — если в ноябре 2017 года им удалось вывести всего 7 млн. рублей, то уже летом 2018 года они успешно похитили из ПИР-банка 58 млн. рублей. Напомним, что на счету MoneyTaker 16 атак в США, 5 – на банки России и 1 – в Великобритании. В США средний ущерб от одной атаки составляет $500 000. В России средний объем выведенных средств – 72 млн. рублей. В декабре 2017 года Group-IB опубликовала первый отчет об этой группе: «MoneyTaker: полтора года ниже радаров».
Атаки на платежные шлюзы за обозначенный период проводила только группа Cobalt. При этом в 2017 году они похитили таким образом деньги у двух компаний, а в 2018 не сделали ни одной попытки. При этом помощь в проведении одной из атак им оказывали участники из группы Anunak, которая не проводила подобных атак с 2014 года. Несмотря на арест в Испании лидера группы весной 2018 года, Cobalt по-прежнему остается одной из самых активных и агрессивных группировок, стабильно — 2-3 раза в месяц атакуя финансовые организации в России и за рубежом.
Атаки на клиентов банков: спад Android-троянов и торжество фишинга
В России, по данным экспертов Group-IB, не осталось ни одной группы, которая бы занималась хищениями у физических лиц с использованием банковских троянов для персональных компьютеров. Снижение угроз со стороны банковских троянов для ПК в России продолжается с 2012 года.
Эксперты Group-IB обратили внимание на изменение во второй половине 2017 года тактики атакующих: вектором распространения троянов стала не традиционная вредоносная рассылка и не взломанные популярные сайты, а создание новых тематических ресурсов для бухгалтеров, генеральных директоров, использующих в своей работе системы дистанционного банковского обслуживания (ДБО), платежные системы или криптокошельки. На фейковых ресурсах злоумышленники размещали код, предназначенный для загрузки троянов Buhtrap и RTM.
В отличие от России, на мировой арене ландшафт киберугроз изменился значительно сильнее. Появилось шесть новых банковских троянов для ПК: IcedID, BackSwap, DanaBot, MnuBot, Osiris и Xbot.
За прошедший год эксперты Group-IB отмечают спад в России эпидемии заражения смартфонов Android-троянами после нескольких лет бурного роста. Количество проводимых ежедневных хищений с помощью Android-троянов в России снизилось почти в три раза, а средний размер хищений снизился с 11 000 рублей до 7 000 рублей. Новые Android-трояны — Easy, Exobot 2.0, CryEye, Cannabis, fmif, AndyBot, Loki v2, Nero banker, Sagawa и др., выставленные на продажу или в аренду на хакерских форумах, ориентированы, прежде всего, на использование за пределами России.
Еще одной причиной снижения ущерба среди клиентов стал наметившийся переход банков и платежных систем на технологии раннего обнаружения фрода, использующие алгоритмы поведенческого анализа, что позволяет детектировать атаки, использующие социальную инженерию, фишинг, бот-сети, захват учетной записи, сети нелегального обналичивания денег и другие виды банковского мошенничества на всех устройствах и платформах клиента.
Значительно выросло количество преступлений, совершенных с использованием web-фишинга, фейковых сайтов банков, платежных систем, телеком-операторов, интернет-магазинов и известных брендов. С помощью web-фишинга злоумышленникам удалось похитить 251 млн. рублей, что на 6% больше по сравнению с показателем прошлого периода. В среднем средняя сумма одного хищения с помощью фишинга составляет около 1 000 руб. По оценкам Group-IB, количество групп, которые создают фишинговые сайты под российские бренды, выросло с 15 до 26. Что касается мировых тенденций, то, как и ожидалось, наибольший объем финансового фишинга приходится на компании в США. Их доля составляет 80% всех финансовых фишинговых сайтов. Второе место занимаем Франция, затем Германия.
Как отмечает CEO Group-IB Илья Сачков, для победы над киберпреступностью необходима синхронизация законодательства на уровне государств, удар по экономической базе и каналам финансирования злоумышленников, введение моратория на разработку и продажу цифрового оружия, которое может оказаться в руках у киберпреступников.
«Кибербезопасность должна стать приоритетом парадигмой для граждан, бизнеса и государств. Считается, что противодействие киберугрозам — типичное соревнование брони и снаряда. Именно поэтому сейчас изменилась сама парадигма защиты: главная идея — быть на несколько шагов впереди киберпреступников и не допустить преступления вообще», - считает Илья Сачков.