По данным отчета Hi-Tech Crime Trends 2017, представленного компаний Group-IB на ежегодной конференции CyberCrimeCon, за год в результате хищений в интернет-банкинге у юридических лиц с использованием вредоносных программ было украдено почти $10,4 млн, а в ходе целевых атак на банки — более $27 млн.
Несмотря на снижение обоих показателей на 35% по сравнению с прошлым годом, целевые атаки на финансовые организации продолжат приносить киберпреступникам наибольший доход. Однако, по мнению экспертов, уже в ближайшее время широкое распространение в финансовом секторе получит новая угроза — выведение из строя инфраструктуры. Причем использовать ее будут как финансово мотивированные киберпреступники, так и хакеры, спонсируемые государством.
Изменение геополитической обстановки приводит к тому, что меняются цели кибератак. Трендом являются диверсионные атаки, основной задачей которых является вывод из строя инфраструктуры финансового учреждения. Такие атаки могут нанести серьезный ущерб и пошатнуть финансовую стабильность в том или ином регионе.
В начале 2017 г. эксперты Group-IB зафиксировали первые случаи использования шифровальщиков для сокрытия следов ограбления банка. В ходе атаки на один из банков группировка Cobalt получила контроль над всей его информационной сетью. После совершения хищения хакеры запустили модифицированную версию шифровальщика Petya — PetrWrap — на всех компьютерах в сети, чтобы скрыть следы преступления. Впоследствии часть данных удалось восстановить, однако большая часть компьютеров в сети банка вышли из строя, что сильно усложнило расследование инцидента. "После проведения успешных атак на банки атакующие всегда стремились уничтожить следы своего присутствия, чтобы усложнить проведение расследования и как можно дольше оставаться незамеченными для исследователей. Для уничтожения следов они использовали такие инструменты, как SDelete, MBRKiller, самописные утилиты для уничтожения данных. Было очевидно, что использование шифровальщиков для сокрытия следов атаки — лишь вопрос времени, — уверен Дмитрий Волков, руководитель отдела расследований и сервиса киберразведки Threat Intelligence, сооснователь Group-IB. — Более интересен тот факт, что проправительственные хакеры очень оперативно уловили этот тренд и последовали примеру киберпреступников".
В марте 2017 г. группировка Black Energy, которая ранее была известна своими атаками на энергетические компании, не просто сменила профиль, атаковав ряд украинских банков, но и использовала для этого собственного шифровальщика.
Напомним, что в основе, пожалуй, самой резонансной хакерской атаки этого года также лежал шифровальщик WannaCry, поразивший IT-инфраструктуру ряда крупных организаций, в том числе банков. По мнению экспертов, за ней стоит Lazarus — группа государственных хакеров из Северной Кореи. Очевидно, что целью атаки было не получение финансовой выгоды, а оказание влияния на конкретные объекты, чью работоспособность было необходимо нарушить. В случае с NotPetya атака, за которой, предположительно, стоит та же Black Energy, была более целенаправленной, хотя целью обеих атак можно считать выведение из строя инфраструктуры: в июне 2017 г. хакерам удалось временно остановить производство на ряде предприятий, а также нарушить процессы в компаниях нефтегазового и финансового секторов.
"Ущерб от простоя в банковской сфере может быть гораздо более ощутимым, чем от хищения. Получение контроля над IT-инфраструктурой крупных системообразующих банков или выведение ее из строя дает возможность оказывать влияние на национальную экономику, курс валюты и приводит к другим масштабным последствиям, в которых не всегда заинтересованы финансово мотивированных хакеры. Таким образом, использование шифровальщиков в финансовой сфере — это скорее инструмент влияния, нежели финансовой выгоды. И практика последних атак только подтверждает этот тезис, — продолжает Волков. — Однако вне зависимости от принадлежности хакеров и их целей жертвой атаки в первую очередь становятся конкретная финансовая организация и ее клиенты".
Дмитрий Волков отметил, что Россия в последнее время является своеобразным "тестовым полигоном для хакеров". По его словам, число целенаправленных атак на банки снизилось на 33%, но хакерских групп и организованных ими взломов стало больше. Это объясняется тем, что киберпреступники, обкатав технологии в России, разворачивают деятельность в других странах. Из 22 новых вредоносных программ для хищения денежных средств 20 (91%) созданы и управляются людьми, говорящими на русском языке.
Осуществлять хакерскую деятельность в стране пребывания невыгодно, так как увеличиваются шансы быть пойманными, рассказывает глава Group-IB Илья Сачков. Пользуясь вложившейся геополитической напряженностью, русские киберпреступники переезжают, к примеру, на Украину. А украинские хакеры уезжают в Россию и отсюда взламывают компьютерные системы своей родной страны.
Эксперты Group-IB отмечают рост потерь от фишинга: они составили $4 млн во II квартале 2016 г. - I квартале 2017 г. По мнению Дмитрия Волкова, в ближайшее время потери от фишинга превысят потери от хищений у юридических лиц с использованием вредоносного ПО ($10 млн), в том числе за счет создания киберпреступниками средств автоматизации фишинговых атак. Он также предсказал появление в открытом доступе средств автоматизации процессов кибератак, в том числе ориентированных на криптовалюты.
В числе популярных типов кибератак, которые будут актуальны для банковской сферы в следующем году, находятся вирусы-вымогатели. Дмитрий Волков сообщил изданию "Вести.Экономика", что несмотря на то, что требования вымогателей не принято выполнять, коммерческие организации стараются всеми силами сократить время вызванного атакой простоя, минимизировать потерю денег.
Мотивацией тех, кто запускает вирусы-вымогатели, является получение финансовой выгоды и, констатировал Волков, финорганизации часто выполняют требования злоумышленников. "Конечно, это очень плохо, потому что вырученные хакерами средства инвестируются в проведение новых атак", - сказал Волков. "Но лучше, чтобы эта атака не произошла. Тогда не нужно беспокоиться о каких-то выкупах. Если у вас есть бэкап (резервная копия - прим. ред.), то эта печальная история вас не коснется", - дополнил глава Group-IB Илья Сачков.