Кибербезопасность остается животрепещущей темой как для простых пользователей, так и для крупнейших корпораций и компаний. За год сформировался ряд тенденций, играющих определяющую роль в стратегиях защиты от киберугроз. Переход от оборонительной позиции к охоте за киберпреступниками – магистральный тренд рынка информационной безопасности сегодня.
Group-IB, международная компания, специализирующаяся на предотвращении кибератак, в ежегодном отчете «Hi-Tech Crime Trends 2018» проанализировала глобальные тренды развития киберпреступности и представила видение будущих целей проправительственных хакерских групп и финансово-мотивированных хакеров.
Саботаж и шпионаж – главные цели проправительственых хакеров Фокус перспективной разработки и инноваций в создании сложных вирусов, а также проведении многоступенчатых целевых атак сместился от финансово-мотивированных киберпреступников к проправительственных хакерам. Их действия направлены на обеспечение долговременного присутствия в сетях объектов критической инфраструктуры с целью саботажа и шпионажа за компаниями энергетического, ядерного, коммерческого, водного, авиационного и других секторов.
В топ-3 стран происхождения самых активных проправительственных хакерских групп входит Китай, Северная Корея и Иран. Шпионаж также остается ключевым направлением деятельности групп, спонсируемых государствами разных стран. Азиатско-Тихоокеанский регион (APAC) по итогам H2 2017 – H1 2018 стал самым активно атакуемым хакерами разных стран. За год здесь была зафиксирована активность 21 различных групп, что больше чем в США и Европе вместе взятых. Новым вектором шпионажа в Group-IB называют взлом домашних и персональных устройств должностных лиц государств.
В отчете Group-IB представлены порядка 40 активных групп, но их гораздо больше. Они спонсируются различным государствами, среди которых: Северная Корея, Пакистан, Китай, США, Россия, Иран и Украина. Страновую принадлежность части групп пока установить не удалось.
Как правило, обнаруженные новые группы или правительственные кампании уже существовали несколько лет, но по разным причинам не были замечены. Специалисты Group-IB делают неутешительный вывод: уникальный ландшафт APT-угроз (англ. Advanced Persistent Threat — «развитая устойчивая угроза», целевая кибератака), характерный для каждого региона постоянно меняется, хакеры стараются пользоваться широко распространенными инструментами, в том числе для тестов на проникновение, что затрудняет работу исследователей. Отсутствие данных об обнаруженных атаках в отдельной стране или секторе экономике, скорее всего, означает, что о них пока не известно, а не о том, что они отсутствуют. Финансовый сектор вновь под угрозой В 2018 году была раскрыта новая хакерская группа – Silence. Помимо нее сегодня самыми опасными для банков во всем мире являются MoneyTaker, Lazarus и Cobalt. Они способны взломать банк, добраться до изолированных финансовых систем и вывести деньги. Три группы из четырех – русскоговорящие.
В среднем, каждый месяц в России успешно атакуют 1-2 банка: средний ущерб от атаки – 132 млн. руб ($2 млн). Эксперты Group-IB констатируют, что количество целенаправленных атак на банки с целью хищения через SWIFT за отчетный период увеличилось в три раза. Среднее время для обналичивания денег из банкомата дропами или "мулами" составляет всего около 8 минут.
По прогнозам Group-IB аресты лидеров Cobalt, Fin7 (Anunak) приведут к тому, что оставшиеся члены этих групп начнут формировать новые. Среди других наиболее вероятных регионов возникновения новых киберпреступных организаций – Латинская Америка, а также Азиатские страны. Скорее всего их первыми целями будут банки. Эксперты Group-IB предупреждают, что коллаборация хакерских групп, применение ими легальных инструментов и умышленное копирование тактик друг друга приведут к многочисленным ошибкам в атрибуции. Атаки на клиентов банков Мошенничество с банковскими картами остается в числе наиболее опасных угроз для физических лиц: недостаточное распространение систем поведенческого анализа при проведении транзакций приводит не только к прямому ущербу, но и к росту бизнеса кард-шопов. Ежемесячно в мире для продажи в кард-шопах загружаются около 686 тысяч текстовых данных скомпрометированных банковских карт и 1.1 млн дампов. Общий объем рынка кардинга за анализируемый период составил – $663 млн.
Снижение угроз со стороны банковских троянов для ПК в России продолжается с 2012 года. Атаки на физических лиц ушли в прошлое, а ущерб для юридических лиц по итогам отчетного периода сократился еще на 12% и составил 547 800 000 ₽ (8,3 млн).
Рынок Android-троянов после нескольких лет роста остановился в России, но продолжает развиваться на мировой арене. Количество проводимых ежедневных хищений с помощью Android-троянов в России снизилось почти в три раза. Также стоит отметить и сокращение среднего размера хищений. Если в прошлом году он был 11 тысяч рублей, то в этом году уже 7 тысяч. На международном рынке ситуация радикально отличается: за анализируемый период было выявлено 6 новых троянов для ПК (IcedID, BackSwap, DanaBot, MnuBot, Osiris и Xbot), а также выложены либо проданы исходные коды еще 5 троянов.
Веб-фишинг – метод хищений, который показал рост и в России, и на международном рынке в этом году. Количество групп, которые создают фишинговые сайты под российские бренды выросло с 15 до 26. В России общее количество ежедневных успешных фишинговых атак выросло до 1274 (ранее – 950). С помощью web-фишинга в России было похищено 251 млн. рублей, что на 6% больше, чем в прошлом году.
На международном рынке, в отличии от прошлого периода, первую позицию заняли фишеры, нацеленные на облачные хранилища, а не на финансовый сектор. По объему фишинговых сайтов в мире США занимает 1 место (80%), 2 место – Франция, 3-е – Германия. Согласно отчету Group-IB, 73% всех фишинговых ресурсов попадают в следующие три категории: облачные хранилища (28%), финансовые (26%), и онлайн-сервисы (19%). Крипто-индустрия: новые рынки – «старые» угрозы Около 56% всех средств, украденных с ICO, были похищены с помощью фишинговых атак. В 2017 и 2018 годах внимание хакеров возросло к атакам с целью взлома криптобирж. Всего было ограблено 14 криптовалютных бирж.
Общий ущерб – более $882 млн. Как минимум 5 атак связывают с северокорейскими хакерами из группы Lazarus, чьи жертвы преимущественно находятся в Южной Корее. Вслед за Lazarus вероятнее всего атаковать криптобиржи начнут Silence, MoneyTaker и Cobalt, при этом основным вектором проникновения в корпоративные сети криптобирж остается целевой фишинг.
Криптоджекинг (скрытый майнинг), как направление мошенничества, получило наибольшее развитие в 2017-2018 гг. После выхода ПО для скрытого майнинга Coinhive, появилось еще 7 программ подобного типа. Эксперты Group-IB прогнозируют, что крупнейшие майнеры в мире могут стать целью не только киберпреступников, но и прогосударственных атакующих. При определенной подготовке это может позволить им взять под контроль 51% мощностей для майнинга и захватить управление криптовалютой. Сразу 5 успешных «атак 51%» было зафиксировано в первой половине 2018: сумма прямого финансового ущерба составила от $0,55 млн до $18 млн. Новые технологии взлома Если в прошлом году основное внимание специалистов по безопасности было связано с эпидемиями WannaCry, NotPetya, BadRabbit, то начало 2018 года показало, что новый источник глобальной угрозы информационной безопасности – это side-channel атаки и уязвимости микропроцессоров разных вендоров.
В отчете Group-IB анализируется множество примеров, показывающих реальную опасность «брешей» аппаратного обеспечения и их ключевую проблему: все эти уязвимости невозможно быстро и эффективно закрыть при помощи программных обновлений. Именно поэтому исследовательская активность, посвященная поиску уязвимостей в BIOS/UEFI усиливается с каждым годом пропорционально возросшему количеству угроз, которые используются в реальных целенаправленных атаках. При этом о них становится известно благодаря утечкам, а не исследованию атак: сегодня на рынке нет решений, которые могли бы эффективно выявить такие угрозы.
«Сегодня производители продуктов для кибербезопасности предлагают достаточно эффективные способы борьбы с вредоносными программами, проникающими в компьютерные системы, однако никакая антивирусная программа не поможет, когда проблема находится на уровне прошивки, на уровне оборудования, – предупреждает Дмитрий Волков, CTO Group-IB. – Во-первых, заражение оборудования через существующую уязвимость сложно детектировать. Во-вторых, эту проблему сложно устранить. Комбинация side-channel атаки с аппаратной уязвимостью, которая позволяет выполнять множество действий в операционной системе, открывает новые возможности заражать устройства незаметно. Если устройство скомпрометировано таким образом, то переустановка операционной системы или даже выброс жесткого диска не решит проблему. Неважно, где вы находитесь, как только вы подключите устройство к Интернету, преступник будет иметь над ним полный контроль».
В Group-IB констатируют, что в настоящее время исследования, посвященные поиску уязвимостей в BIOS/UEFI, а также разработка реальных эксплойтов – достаточно трудоемкие и дорогие процессы: не так много хакеров способны выполнять такие атаки, но эта ситуация может измениться, что в корне изменит подход к кибербезопасности в ближайшие годы.