2018: итоги года

РУССКИЙ

ENGLISH

С самого начала 2018 год не сулил ничего хорошего: диверсия на зимних Олимпийских играх в Пхёнчхане, перекрестный шпионаж между кибердержавами, Lazarus, щелкающая криптобиржи, как орехи, непотопляемая группа Cobalt даже после ареста одного из своих лидеров продолжившая атаковать банки. И если в 2017 году главные угрозы были связаны с эпидемиями вирусов-шифровальщиков — WannaCry, NotPetya, BadRabbit, то 2018 год продемонстрировал новые опасности. Например, «бреши» аппаратного обеспечения. Такие уязвимости очень сложно выявить и невозможно быстро и эффективно устранить с помощью программных «заплаток». Еще одна «головная боль» — рост активности проправительственных хакеров, проникающих на объекты критической инфраструктуры для саботажа или шпионажа. Большинство атак были направлены на энергетический сектор, а самыми активными игроками в "поле" оказались хакерские группы Китая, Северной Кореи и Ирана.

Киберпреступники, разумеется, не забывали и о своем кармане. В 2018 году Group-IB раскрыла новую хакерскую группу, атакующую банки — Silence. Кроме нее самыми опасными для финансового сектора группами являются Cobalt, MoneyTaker, Lazarus. Каждый месяц в России успешно атаковали 1–2 банка, средний ущерб от атаки составил 132 млн руб. ($2 млн). Однако кража — не самое страшное, что может случиться с финансовой организацией. Банки оказались в числе мишеней для прогосударственных хакерских групп, специализирующихся на диверсиях и саботаже. Одна такая кибератака в случае успеха может привести к ликвидации самой кредитно-финансовой организации и стать одной из причин коллапса финансовой системы целого государства.

Январь

Крупнейшая кража с криптобиржи, перекрестный шпионаж и экстрадиция короля спамеров

Рекордная сумма в $533 млн (в цифровой валюте NEM) была похищена в результате атаки на японскую криптобиржу Coincheck. Пострадали порядка 260 000 пользователей. Национальное разведывательное агентство Южной Кореи утверждает, что за атакой, вероятнее всего, стоят северокорейские хакеры. Чуть позже Group-IB оценит ущерб от целевых атак на криптобиржи в 2017 году и первые 9 месяцев 2018 года в $882 млн. За этот период были взломаны, как минимум, 14 криптобирж и 5 из них атакованы северокорейской хакерской группой Lazarus, в том числе, японская Coincheck.

С середины 2017 года велось закрытое исследование аппаратных уязвимостей, которые затрагивают большинство микропроцессоров Intel, AMD и чипы, использующие процессорные ядра ARM. В январе 2018 года информация об этих уязвимостях была опубликована под названиями Meltdown (CVE-2017-5754) и Spectre (CVE-2017-5753 и CVE-2017-5715). Из-за опасности, которую представляют эти сведения, они вызвали огромный резонанс. Meltdown позволяет злоумышленникам читать не только память ядра, но и всю физическую память целевых машин, а следовательно и все секретные данные программ и операционной системы. Spectre нарушает изоляцию между различными приложениями, позволяя вредоносной программе заставить любой процесс выдать содержимое собственной памяти.

Группировка Fancy Bear (APT28) атаковала ведущие военно-промышленные компании США: Lockheed Martin, Raytheon, Boeing, Airbus и General Atomics. Кампания продолжалась с марта 2015 года по май 2016 года, но известно о ней стало только в январе. Жертвами фишинговых атак стали как минимум 87 человек, занимающихся, например, разработкой беспилотников, ракет и истребителей. Fancy Bear действует как минимум с 2004 года. Хакерам приписывают атаки на французский телеканал TV5 Monde, Национальный комитет Демократической партии США, парламент Германии, допинговое агентство WADA. Главная цель Fancy Bear – кража конфиденциальной информации у высокопоставленных должностных лиц. В своих атаках Fancy Bear используют фишинговые письма с вредоносными вложениями или ссылками, перенаправляющими пользователей на сайт с набором эксплоитов.

В США вирус-шифровальщик SamSam, атакующий медицинские учреждения, вновь успешно поразил несколько объектов. Началось все с атаки на больницу Hancock Health (Индиана) — тогда руководство медучреждения пошло на встречу хакерам и выплатило $55 000. И абсолютно напрасно. Это лишь раззадорило киберпреступников, выбравших в качестве следующих целей Adams Memorial Hospital, в Индиане, муниципалитет в Фармингтоне, Нью-Мексико, компанию Allscripts Professional EHR. Вирус шифровал данные и выдавал на экран сообщения с требованием выплатить 3 биткоина. Заражение происходило не через фишинговую рассылку, а через взломанные популярные веб-ресурсы. Подобным образом в России и на Украине в октябре 2017 года происходило заражение вирусом BadRabbit.

Центробанк России оценил ущерб от 11 успешных атак группы Сobalt на банки в 2017 год в 1 млрд руб. В январе 2018 года Сobalt еще как минимум трижды атаковала российские финансовые учреждения. По оценкам Европола, Сobalt похитила около 1 млрд евро у 100 банков в 40 странах мира: России, Великобритании, Нидерландах, Испании, Румынии, Белоруссии, Польши, Эстонии, Болгарии, Грузии, Молдавии, Киргизии, Армении, Тайване и Малайзии.

Испания выдала США российского спамера Петра Левашова (Peter Severa), входящего в десятку самых опасных спамеров мира по версии Spamhaus. В США начался суд над ним.

Февраль

Кибердиверсия на Олимпиаде, крупная кража из индийского банка через SWIFT и успешный кейс Group-IB на Украине

Главное международное событие февраля — зимние Олимпийские игры в Пхёнчхане (Южная Корея) начались с масштабной кибератаки. Во время церемонии открытия 9 февраля вирус Olympic Destroyer атаковал компьютерные сети организаторов — это привело к проблемам с телетрансляцией, сбоям в работе сети Wi-Fi и сайта pyeongchang2018.com. Как выяснили эксперты, хакеры использовали Olympic Destroyer, штамм вредоносной программы, которая уничтожает файлы и выводит системы из строя. Вредоносная программа использует эксплойт EternalRomance NSA для распространения по протоколу SMB — такая же схема была зафиксирована при атаке вируса-шифровальщика в 2017 году. Исследователи разошлись во мнении, кто стоит за кибератаками. Одни эксперты обвиняли северокорейскую группу Lazarus, другие связали кибератаку с русскоязычной APT-группировкой Fancy Bear.

Правительство Германии обвинило Fancy Bear в проникновении в сети ряда министерств Германии, в том числе в изолированную государственную IT-сеть. Вторжение было обнаружено в декабре 2017 года, эксперты считают, что кибершпионы находились внутри более года. Хакеров из группы Fancy Bear (APT28, Sofacy) подозревают в атаках на французский телеканал TV5 Monde, на Национальный комитет Демократической партии США, парламент Германии, допинговое агентство WADA. В последнее время, как замечают эксперты, Fancy Bear смещает вектор своих атак со стран НАТО и Украины на бывшие советские республики в Центральной Азии, на Ближнем и Дальнем Востоке.

Неизвестные киберпреступники вывели из индийского банка City Union Bank $1,8 млн. Проникнув в систему банка, хакеры совершили три несанкционированных перевода через систему SWIFT. Одна транзакция $500 000 на счет банка в Дубае была заблокирована, два других перевода ушли на счета банков в Турции и в Китае. City Union Bank совместно с МИДом пытается вернуть средств. Атаки с использованием SWIFT в прошлом году прокатились по всему миру. Они были зафиксированы в Эквадоре и Непале, а в конце 2017 года впервые в истории российской финансовой сферы группа Cobalt провела успешную целевую атаку на российский банк с использованием SWIFT.

Шифровальщик SamSam в феврале заразил более 2 000 компьютеров в Департаменте транспорта штата Колорадо (DOT). За возобновление работы злоумышленники требовали выкуп в биткоинах, однако DOT принял решение не платить выкуп и отключил все рабочие станции. В начале года SamSam атаковал в основном медицинские учреждения и муниципалитеты: больницу Hancock Health (Индиана), Adams Memorial Hospital, в Индиане, муниципалитет в Фармингтоне, Нью-Мексико, компанию Allscripts Professional EHR. Вирус шифровал данные и выдавал на экран сообщение с требованием выплатить 3 биткоина. Заражение происходило не через фишинговую рассылку, а через взломанные популярные веб-ресурсы. Подобным образом в России и на Украине в октябре 2017 года распространялся вирус BadRabbit.

В феврале 2018 исследователи из NVIDIA и Принстонского университета опубликовали доклад, в котором описали новые типы атак, так же затрагивающие почти все современные центральные процессоры. Принцип атак, получивших название MeltdownPrime и SpectrePrime, схож с оригинальными, новшество заключается в том, что они нацелены на многоядерные чипы и используют механизм аннулирования линий кеша в современных протоколах когерентности кэш-памяти при передаче данных между ядрами. Как и в случае с Meltdown и Spectre, успешная атака позволяет получить доступ к закрытой для сторонних приложений информации вроде паролей. Код SpectrePrime, предлагаемый исследователями в качестве доказательства концепции, приводит к успеху атаки в 99,95% случаев исполнения на процессоре Intel (уровень успешности обычной атаки Spectre достигает 97,9%).

Группа хакеров под руководством Инны Яценко блокировала американские серверы, используя DDoS-атаки, и вымогала деньги за их прекращение. Атаке подвергались интернет-магазины, сайты букмекерских фирм, лотерейных и игровых компаний. В частности, жертвами украинских мошенников стала американская компания Stafford Associates, специализирующаяся на предоставлении услуг по аренде мощностей дата- центров и хостинга, а также сервис онлайн-платежей PayOnline. Служба безопасности интернет-холдинга Dating.com Group обратилась к специалистам Group-IB за помощью в установлении личностей участников хакерской группы причастных к организации DDoS. Эксперты отдела расследований Group-IB проанализировали цифровые следы атаки и установили не только личности злоумышленников, но и цепочку других инцидентов, следы которых вели к тем же вымогателям. Ими оказались граждане Украины Гайк Гришкян и Инна Яценко. Оба признали свою вину, в начале 2018 года суд приговорил каждого к 5 годам лишения свободы (условно).

Минюст США отчитался о ликвидации Infraud Organization, сетевого сообщества, 36 участников которого обвинялись в кражах данных банковских карт, финансовой информации, распространении вредоносных программ. Ущерб от их деятельности составил как минимум $530 миллионов. Задержаны 13 человек, в том числе граждане Украины Святослав Бонадренко ("Obnon," aka "Rector," aka "Helkern"), Алексей Клименко (Grandhost), а также россиянин Андрей Новак (Unicc, aka Faaxxx). Эксперты Group-IB считают, что речь идет не об организованной преступной группе, а о сетевом сообществе, которое было создано вокруг андеграундного форума Infraud.ws. У каждого из задержанных была своя роль в иерархии форума — "Администраторы", "Супермодератор", "Вендоры", "VIP Members". Судя по всему, участников Infraud смогли деанонимизировать и задержать после изъятия серверов, на которых хостился Infraud.ws. Сам форум прекратил работу 5 февраля. Оним из основных видов деятельности арестованных был кардинг. Большинство задержанных регулярно фигурировали на хакерских и кардерских площадках, управляли кардершопами, продавали аккаунты, учётки, ВПО и др. Например, россиянин Андрей Новак aka Unicc.at – известный на хакерских форумах кардер, его "активность" на форумах прослеживается с 2010-го года. Украинец Алексей Клименко aka Grandhost держал отказоустойчивый хостинг, тоже занимался кардингом и обеспечивал защиту собственных магазинов кардеров.

Март

Арест в Испании одного из лидеров Cobalt, атаки Black Energy на энергообъекты в США и затмение Telegram

26 марта Европол объявил об аресте в испанском городе Аликанте одного из лидеров хакерской преступной группы Cobalt, которую Банк России называл главной угрозой для банков. По данным Европола, всего группа похитила около 1 млрд евро у 100 банков в 40 странах мира. Мы фиксировали, что фишинговые рассылки доходили даже до банков Австралии и Японии. Криминалисты Group-IB одними из первых исследовали атаки Cobalt на российские и зарубежные банки. Вначале хакеры специализировались на бесконтактных атаках на банкоматы. Кроме систем управления банкоматами они старались получить доступ к платежным шлюзам и карточному процессингу. В конце 2017 года впервые в истории финансовой системы России Cobalt совершила успешную атаку на банк с использованием системы межбанковских переводов (SWIFT). Несмотря на арест одного из лидеров группы, атаки в 2018 году продолжились. Уже на следующий день после сообщения Европола Group-IB зафиксировала очередную фишинговую рассылку Cobalt от имени некоммерческой организации SpamHaus, которая борется со спамом и фишингом.

Департамент внутренней безопасности США и ФБР выпустили совместное техническое предупреждение, оповещающее о возможных нападениях на критическую инфраструктуру США со стороны группы Black Energy (Dragonfly, Energetic Bear). DHS и ФБР подчеркивают, что прогосударственные хакеры проводят многоступенчатые кампании по вторжению в небольшие коммерческие сети энергетического сектора. Активность группы была также замечена на критически важных объектах энергетического, ядерного и авиационно-космического секторов. Подобное предупреждение ФБР уже выпускало в июле 2017 года после серии атак на энергосистемы в Великобритании, Ирландии и США. Группа Black Energy известна тем, что в 2016 году успешно атаковала энергетическую и финансовую системы Украины. Инструменты BlackEnergy позволяют удаленно управлять Remote terminal unit (RTU), которые отвечают за физическое размыкание/ замыкание энергосети. Именно BlackEnergy, как считают эксперты, стоит за распространением в 2017 году вирусов-шифровальщиков NotPetya и BadRabbit, поразивших украинские министерства, банки, аэропорт и метро.

В FireEye отметило повышенную активность связанной с Китаем группы Leviathan (TEMP.Periscope). Начиная с 2014 года, объектом ее атак являются научно-исследовательские институты, академии и частные консалтинговые фирмы, связанные с военными ведомствами США и стран НАТО. Для заражения компьютеров кибершпионы используют фишинговые письма с вредоносным вложением. В свою очередь в NCC Group рассказали об атаке на подрядчиков в различных правительственных ведомствах Великобритании и военных организациях со стороны группы APT15 (Ke3chang), связанной с Китаем. NCC Group обнаружили два новых бэкдора, которые использовала группа APT15. Хакеры занимаются кибершпионажем с 2010 года.

Эксперты Group-IB зафиксировали, что сбоем в работе популярного мессенджера Telegram Павла Дурова 29 марта воспользовались мошенники. Всего за пару часов на крипто-кошельки, рекламируемые фейковым аккаунтом Дурова в Twitter'е, упало около $60 000.

Чехия согласилась выдать в США гражданина России Евгения Никулина, обвиняемого во взломе в 2012 году сервисов Armaged0, Linkedin, Dropbox и Formspring, краже личных данных пользователей с целью их продажи. Никулин был задержан в Праге в октябре 2016 года по запросу американских спецслужб. Об этом стало известно случайно, когда у прессы оказались документы из чешской психиатрической клиники, где несколько дней находился Никулин. Если американский суд признает Никулина виновным, ему грозит штраф до 1 млн долларов и тюремное заключение сроком до 32 лет.

Апрель

Отчет Group-IB, впервые раскрывающий связи Cobalt и Anunak, война Роскомнадзора с Telegram, аресты в США и Европе

Эксперты Threat Intelligence Group-IB выпустили отчет «Cobalt: эволюция и совместные операции», в котором впервые приводят доказательства связи Cobalt и группы Anunak, анализируют их совместные операции и используемые инструменты для атак. Первые успешные атаки и хищения денег через SWIFT группа Cobalt совершила весной 2016 года в банке Гонконга, затем на Украине. После этого Cobalt переключились на более простые и безопасные для мулов cхемы атак и хищений денег через карточный процессинг и сеть управления банкоматами. В ходе атаки на First Bank на Тайване хакерам удалось из трех десятков банкоматов похитить $2 млн. В сентябре 2016 они сумели проникнуть в один из банков Казахстана и похитить около $600 тысяч через карточный процессинг. В феврале 2017 года хакеры взломали системного интегратора, которого использовали как «посредника» для проведения атак на компании в России, Казахстане, Молдавии.
В начале 2017-го года Cobalt находят команду разработчиков, которые создают и тестируют новые инструменты по заказу группы. Для вывода из строя банковской сети хакеры использовали модификацию известного во всем мире вируса-шифровальщика Petya. В декабре 2017-го Cobalt вернулась к атакам на SWIFT - впервые в истории российской финансовой сферы был атакован банк с доступом к SWIFT.
Именно в этом году Group-IB подтвердит связь Cobalt с Anunak. Она объясняет ряд других более ранних эпизодов, когда в «почерк» Cobalt добавлялись нетривиальные для них инструменты и методы работы, значительно затрудняя атрибуцию.

После того как мессенджер Павла Дурова отказался передать ФСБ ключи шифрования, Роскомнадзор разослал провайдерам уведомление о блокировке Telegram. В течение нескольких часов мессенджер стал недоступен для абонентов крупных операторов связи. Пытаясь не дать Telegram перескочить на другие «айпишники», Роскомнадзор закрывает доступ к IP-адресам облачного сервиса Amazon Web Services и Google. В итоге страдают все. Часть пользователей ищет способы обхода блокировки с помощью VPN. Group-IB предупреждает: на волне хайпа появляется большое количество поддельных VPN, которые не обеспечат безопасность, а наоборот будут шпионить за пользователями — так могут утечь пароли, переписка в почте и т.д.

Europol, голландская полиция и Национальное агентство по борьбе с преступностью (NCA) 24 апреля ликвидировали webstresser.org, самый большой в мире сервис по организации DDoS-атак на заказ, на счету которого более 4 миллионов атак. Операция, получившая название Power Off, позволила не только закрыть ресурс, но и арестовать администраторов — 6 членов преступной группы в Шотландии, Хорватии, Канаде и Сербии. Служба DDoS-for- hire позволяла преступникам без особых технических навыков запускать мощные кибератаки. По данным Europol, у Webstresser.org было 136 000 зарегистрированных пользователей и сервис активно использовался для таргетированных атак на онлайн-сервисы банков, государственных учреждений, полицейских департаментов.

Британский хакер Кейн Гэмбл (18 лет), взломавший почтовые ящики ведущих американских разведчиков и сотрудников службы безопасности, включая бывшего начальника ЦРУ Джона Бреннана, получил два года тюрьмы. Гэмбл был арестован в своем доме 9 февраля 2017 года. По словам прокурора, подросток утверждал, что он выступал в поддержку палестинцев, и из-за того, что Соединенные Штаты «убивали невинных гражданских лиц». Следствие считало, что он являлся основателем хакерской группы Crackas With Attitude, проводившей атаки на силовиков США с октября 2015 года по февраль 2016 года. Два других члена команды — Андрей Отто Боггс и Джастин Грей Ливерман — были арестованы ФБР в сентябре 2016 года и уже приговорены к пяти годам в федеральной тюрьме. Адвокат Гэмбла утверждал, что его клиент является аутистом.

Грант Уэст (Grant West), независимый компьютерный эксперт, был арестован полицейскими во время поездки из Уэльса в Лондон за отправку фишинговых писем клиентам таких популярных компаний, как Uber, Apple, Sainsbury's, Ladbrokes и Just Eat. Цель мошенника заключалась в том, чтобы заманить клиентов и убедить их раскрыть данные кредитных карт. Чтобы помочь в этом, он принуждал жертв к заполнению онлайн-опросов, которые позже просили данные кредитных карт. Данные скомпрометированных карт злоумышленник продавал через DarkWeb.

Май

Эпидемия VPNFilter, Cobalt прикидывается "Лабораторией Касперского", арест в Волгограде при участии Group-IB, Винник написал явку с повинной.

Ботнет VPNFilter, заразивший как минимум полмиллиона роутеров в 54 странах мира, стал одной из самых серьезных и обсуждаемых киберугроз мая. Первыми о ней рассказали эксперты из Cisco Talos. Программа представляет опасность для маршрутизаторов и сетевого оборудования от производителей Linksys, MikroTik, NETGEAR, TP-Link, ASUS, D-Link, Huawei, Ubiquiti, QNAP, UPVEL и ZTE. Для заражения iOT-устройств VPNFilter использовала известные уязвимости, а также учетные данные по умолчанию. Как итог — хакеры могли шпионить за владельцами домашних и офисных маршрутизаторов да еще и выводить оборудование из строя.

Как мы и предсказывали, продолжаются кибератаки на финансовые учреждения не только для кражи денег, но и для саботажа или диверсии. 24 мая киберпреступники атаковали крупнейший чилийский Banco de Chile и смогли похитить $10 млн, для отвлечения внимания использовав новую версию KillDisk — утилиту, предназначенную для полного и необратимого удаления данных. Первоначально банк отказывался признать случившееся кибератакой, но 28 мая, было выпущено заявление, в котором руководство Banco de Chile признало, что банк был атакован «вирусом» KillDisk. Он проник на 9 000 компьютеров и 500 серверов банка, стер содержимое жестких дисков и повредил основную загрузочную запись (MBR), сделав устройства непригодными для перезагрузки. Это вызвало сбои в работе систем банка, внутрибанковские операции были практически заблокированы. Воспользовавшись создавшимся хаосом, мошенники вывели через SWIFT (международную систему передачи финансовой информаци) несколько крупных транзакций.

В мае Group-IB зафиксировала целую серию масштабных кибератак со стороны группы Cobalt на ведущие банки России, СНГ и Европы. 21 мая прошла вредоносная рассылка от имени компании Apple, письма были написаны на английском языке. Два дня спустя, 23 мая Cobalt атаковала финансовые организации от имени "Лаборатории Касперского". Сотрудники банков получили «жалобу» на английском языке, что их компьютеры якобы нарушают законодательство. Пользователям предлагали внимательно ознакомиться с документом и предоставить детальные объяснения. Если ответ не поступит в течение 48 часов, «антивирусная компания» угрожала наложить санкции на web-ресурсы получателя. И, наконец, 28 мая Cobalt провела новую вредоносную рассылку от имени Европейского Центрального банка.

Департамент внутренней безопасности (DHS) и ФБР выпустили совместное техническое предупреждение о двух вредоносных программах, связанных с северокорейской группой Hidden Cobra (Lazarus). Речь идет о Joanap, инструменте удаленного доступа (RAT) и Brambul, черве сервера сообщений (SMB).

Управлением «К» МВД России при активном содействии Group-IB был задержан 32-летний житель Волгоградской области, обвиняемый в хищениях у клиентов российских банков при помощи Android-трояна. Анализируя «цифровые следы» совершенных краж, специалисты Group-IB выяснили, что используемый в преступной схеме банковский троян был замаскирован под финансовое приложение «Банки на ладони», выполняющего роль «агрегатора» систем мобильного банкинга ведущих банков страны. В приложение можно было загрузить все свои банковские карты, чтобы не носить их с собой, но при этом иметь возможность просматривать баланс карт на основе входящих SMS по всем транзакциям, переводить деньги с карты на карту, оплачивать онлайн-услуги и покупки в интернет-магазинах. Приложение распространялось через спам- рассылки, на форумах и через официальный магазин Google Play. Впервые активность этой вредоносной программы была зафиксирована в 2016 году. В среднем, похищалось от 100 000 до 300 000 ежедневно, а к началу 2018 года суммы ущерба выросли до 500 000 рублей в день. Часть денег переводилась в криптовалюту для безопасного вывода денег и маскировки следов преступления.

Россиянин Александр Винник, арестованный в июле 2017 года в Греции, написал явку с повинной в Генпрокуратуру России, признался в отмывании денег и мошенничестве. Ущерб от его деятельности оценивается в 750 млн рублей. Однако пока Виннику грозит экстрадиция в США — Минюст США обвиняет его в мошенничестве и отмывании $4 млрд через биткоин-транзакции. Винник, по данным американских властей, мог иметь отношение к средствам, пропавшим в 2014 году после банкротства криптовалютной биржи Mt.Gox. Четыре года назад эта биржа, на которой концентрировалось 70% всей мировой торговли биткоинами, подверглась хакерской атаке и оттуда было похищено 850 000 биткоинов (около $500 млн).

Июнь

Исходные коды Pegasus, братья Попелыши получили срок, хакеры взломали 700 000 "учеток" интернет-магазинов

Архив с описанием атак на российские банки и исходными кодами фреймворка Pegasus, нацеленного на АРМ КБР, выложил на хакерских форумах пользователь под псевдонимом Bobby.Axelrod. Архив датируется концом 2015 - началом 2016 года. Кроме данных, слитых из банков, он содержит исходные коды инструмента, разработанного преступной группой для проведения атак на банки с помощью фреймворка Pegasus, нацеленного на АРМ КБР. Особенно стоит выделить модули для работы с платежками в системе АРМ КБР и модуль для распространения по сети. В одном из текстовых документов был подробно расписан механизм антифрод-системы, используемых в российских банках.

18 июня Савеловский районный суд Москвы вынес обвинительный приговор участникам хакерской группы, которую возглавляли братья-близнецы из Санкт-Петербурга Дмитрий и Евгений Попелыши. С марта 2013 по май 2015 года группа Попелышей получила доступ к более чем 7 000 счетов клиентов ведущих российских банков и похитила более 12,5 млн рублей. Любопытно, что атаки на клиентов банков Попелыши совершали, имея непогашенную судимость: еще в 2012 году они получили условный срок. Криминалисты Group-IB участвовали в расследовании и выступали в суде в качестве экспертов и довели дело Попелышей до логического завершения — судебного приговора.

Исследователи Group-IB опубликовали информацию о новом банковском трояне BackSwap, атаковавшего весной 2018 года польские банки. BackSwap работает с элементами графического интерфейса Windows (Windows GUI) и имитирует выбор клавиш, чтобы обойти защиту браузера. В отличие от других банковских троянов BackSwap не внедряет в процессы браузера вредоносный код, потому что это легко детектируется антивирусами.

Group-IB выявила новую мошенническую сеть ресурсов, маскирующихся под государственные онлайн-сервисы и промо-сайты популярных браузеров. Создатели фейковых ресурсов обещали посетителям вознаграждение, достигающее 200 000 руб. Для того, чтобы его «заработать» необходимо было выполнить ряд условий, каждое из которых требует от посетителя денежного взноса: минимальная сумма — 350 руб, максимальная — 1700 руб. «Работа» сети была поставлена на поток: начиная с апреля 2018 года с ее помощью мошенники зарабатывали на доверчивых гражданах из России, Украины, Белоруссии и Казахстана — только за месяц фейковые ресурсы суммарно посетили около 300 000 человек.

Управлением «К» МВД России при содействии Group-IB были задержаны двое киберпреступников по «Бонусному делу». Это громкая история о взломах порядка 700 000 учетных записей участников программ лояльности популярных интернет-магазинов, платежных систем, букмекерских компаний и онлайн-служб заказов такси. В целом от рук мошенников пострадали десятки компаний, среди них – «Юлмарт», «Биглион», «Купикупон», «PayPal», «Групон» и многие другие. Киберпреступники признались, что заработали как минимум 500 000 рублей. Они воспользовались тем, что многие посетители сайтов используют одну и ту же связку логин\пароль на нескольких ресурсах.

Минюст США объявил об аресте 74 человек в рамках международной операции правоохранительных органов, получившей название Operation WireWire, направленной на борьбу с BEC (Business Email Compromise) — финансовым мошенничеством в корпоративной переписке. Суть его заключается в хищении денег у сотрудника фирмы с использование методов социальной инженерии (фейковых писем от партнеров или коллег, поддельных банковских переводов ), взломов компьютеров. По данным ФБР, общий ущерб бизнесу от BEC составляет около 5,3 млрд долларов.

Июль

MoneyTaker вывела деньги из ПИР Банка, мошенники зарабатывают на мундиале, закат Anunak (FIN7)

Group-IB установила, что за атакой на российский ПИР Банк и попыткой хищения 58 млн. стоит преступная группа MoneyTaker. Были обнаружены инструменты, которые ранее использовала группа MoneyTaker для проведения атак на банки, вредоносные программы, позволяющее однозначно атрибутировать инцидент, а также IP-адреса, с которых проводилось управление вредоносными программами. Инцидент произошел 3 июля с использованием АРМ КБР (автоматизированное рабочее место клиента Банка России). По заявлению банка, денежные средства выведены веерной рассылкой на пластиковые карты физических лиц в 17 банках из топ-50, большая часть денежных средств обналичена уже в ночь хищения. После этого злоумышленники попытались закрепиться в сети банка для подготовки последующих атак, однако вовремя были обнаружены.
Атака на ПИР Банк началась в конце мая 2018 года. Предполагаемой точкой входа стало скомпрометированное сетевое устройство (маршрутизатор), стоящее в одном из территориальных подразделений банка. На маршрутизаторе были настроены туннели, позволившие атакующим получить доступ в локальную сеть банка. Такой способ проникновения в сеть является характерным для группы MoneyTaker. Как минимум трижды хакеры уже использовали эту схему при атаках на банки, имеющие региональную филиальную сеть.

Банковский троян Kronos, несколько лет назад атаковавший клиентов российских банков, после длительного перерыва этим летом активизировался за пределами России — в Германии, Японии и Польше. Заражение Kronos шло двумя способами — через фишинговую почтовую рассылку, содержащую вредоносное вложение, либо на взломанном веб-сайте. Group-IB сталкивалась с Kronos еще в 2014 и 2015 годах — мы предупреждали подписчиков Threat Intelligence о старте продаж трояна на хакерских форумах и атаках на клиентов банков. По своему функционалу и формату правил веб-инъекций Kronos был похож на другой известный троян — ZeuS, который называют "королем троянов". Первые объявления о продаже трояна Kronos на подпольных хакерских форумах появились летом 2014 года. Первоначальная цена этого трояна составляла $7 000 с "пожизненной лицензией". Потом цена была снижена до $3 000 «с обновлениями, полной поддержкой, а также командой и инструкцией по вводу документации». Новая версия Kronos, обнаруженная в Германии, Японии и Польше, имеет незначительные улучшения, например, механизм управления и контроля (C& C) через Tor (The Onion Router)

Group-IB обнаружила сеть сайтов, заражавших посетителей банковскими троянами Buhtrap и RTM. Три ресурса, появившихся в апреле 2018 года, уже успели посетить, как минимум, 200 000 человек. Жертвами таргетированной атаки хакеров стали финансовые директоры, юристы, бухгалтеры и другие специалисты, использующие в своей работе системы дистанционного банковского обслуживания (ДБО), платежные системы или криптокошельки.

Ажиотаж с покупкой билетов, рост цен на аренду недвижимости, наплыв иностранных болельщиков - злоумышленники не преминули воспользоваться этой ситуацией для своего обогащения. C конца 2017 года и вплоть до самого открытия Чемпионата мира по футболу Group-IB фиксировала рост числа регистраций доменов, нелегально эксплуатирующих тематику турнира. В мае был установлен своеобразный рекорд - порядка 42 000 подобных доменов. В их названиях активно использовались такие слова как "FIFA", "Russia", "WorldСup2018", "tickets", "Чемпионат мира" и их различные комбинации. За месяц до открытия мундиаля Group-IB обнаружила порядка 1000 подобных рекламных объявлений, ведущих на мошеннические сайты, где предлагается купить или продать свой билет на Чемпионат мира FIFA 2018, а также снять жилье в российских городах на период проведения мундиаля. Например, впервые был таргетированно задействован Instagram: площадка использовалась для привлечения пользователя на мошеннический сайт, например, с помощью розыгрышей билетов и обещаний призов.

В открытом доступе оказались файлы пользователей сервисов Google Docs и Google Drive с личными данными, включая пароли и номера телефонов. Найти их можно было через поиск "Яндекс". Позже выяснилось, что через поисковики можно найти не только документы Google, но персональные данные россиян, включая копии паспортов и документов. Вину за происходящее возложили на администраторов сайтов, которые не предприняли необходимых действий по ограничению доступа к ресурсам — запрете поисковым роботам индексировать страницу и правильно заполнить файл robots.txt. Специальные расширенные поисковые команды (Google hack либо Google dorks) используются в рамках пентестов, первичной киберразведки. Нередко этот легальный инструмент применяют киберпреступники, он позволяет находить информацию, которая обычным поиском не ищется: пароли, платежки, сканы документов, и другую ценную информацию.

В США арестованы трое граждан Украины — Дмитрий Федоров, Федор Хладыр и Андрей Колпаков, которых Минюст связал с группой Anunak, так же известной как FIN7. По информации Минюста США, начиная по крайней мере с 2015 года, члены группировки атаковали более 100 компаний — рестораны, отели и игорные заведения. Кроме того, их подозревают в атаках на компьютерные сети Великобритании, Австрии и Франции. Злоумышленники выкрали данные более 15 млн банковских карт, взломали 6,5 тыс. POS-терминалов в 3,6 тыс. торговых точек. Среди сетей, которые публично заявили о хакерских атаках, значатся: Chipotle Mexican Grill, Chili's, Arby's, Red Robin и Jason's Deli.
Федоров был пойман в январе 2018 года в польском городе Бельско-Бяла и вскоре должен быть экстрадирован в США. Следствие полагает, что он выполнял в Fin7 роль менеджера и администратора, контролирующего других хакеров, которые непосредственно взламывали компьютерные системы. Хладыр был задержан в Дрездене (Германия) и сейчас уже находится под стражей в США. Предполагается, что он был системным администратором Fin7, поддерживал серверы и каналы связи, раздавал задачи и инструктировал других членов хакерской группы. Колпакова правоохранители задержали в конце июня в испанском городе Лепе. По данным следствия, Колпаков, как и Федоров, был руководителем одной из групп хакеров из Fin7. Каждому из задержанных инкриминируют ряд преступлений — мошенничество с помощью электронных средств, взлом компьютеров, похищение личных данных.

Август

Утечки криптобирж, засилие программ для майнинга и торжество Threat Intelligence

В отчете Group-IB «2018 Криптовалютные биржи. Анализ утечек учетных записей пользователей» фиксируется устойчивый рост числа скомпрометированных учетных записей пользователей криптовалютных бирж. Количество утечек данных пользователей на криптовалютных биржах за 2017 год увеличилось на 369% в сравнении с предыдущим годом, а в январе 2018 года - на 689% по сравнению со среднемесячным показателем 2017 года. Лидерами по количеству жертв кибератак на криптовалютные биржи стали США, Россия и Китай. Задействованная киберпреступниками инфраструктура в основном базируется в США (56,1%), Нидерландах (21,5%), на Украине (4,3%) и в России (3,2%).

SC Magazine, один из самых авторитетных международных журналов в сфере информационной безопасности, опубликовал обзор Threat Intelligence, назвав решение одним из лучших систем в своем классе Group-IB, международная компания, специализирующаяся на предотвращении кибератак, получила высокую оценку от журнала SC Magazine за Threat Intelligence (TI). Group-IB TI — первое созданное в России решение для раннего предупреждения киберугроз, удостоившееся внимания SC Magazine. В обзоре SC Magazine подчеркивается, что Group-IB стояла у истоков расследования и предотвращения киберпреступлений в России, а затем начала успешно продвигать свои технологии на международных рынках: «Эксперты Group-IB приняли активное участие в расследовании более чем 1000 киберинцидентов на территории России и Европы», — отмечается в обзоре SC Magazine.

Group-IB фиксирует новые вспышки угрозы нелегитимного майнинга (криптоджекинга) в сетях коммерческих и государственных организаций. По данным системы Group-IB Threat Intelligence за год количество объявлений на теневых форумах, в которых предлагаются программы для майнинга на продажу или в аренду, увеличилось в 5 раз (H1 2018 против H1 2017). Опасной тенденцией эксперты Group-IB называют широкую доступность троянов-майнеров, предназначенных для использования чужих устройств и инфраструктуры в целях нелегитимной генерации различных типов криптовалюты. За первое полугодие 2018 года система Threat Intelligence (Киберразведка) Group-IB зафиксировала 477 объявлений на хакерских форумах о продаже или аренде программ для майнинга, в то время как за аналогичный период 2017 года их количество было в пять раз меньше — 99.

Сентябрь

Silence – новая угроза для банков во всем мире, Интернет-пираты снова подняли флаг, ажиотаж вокруг новых iPhone

Их жертвами уже стали российские банки, однако следы атак группы аналитики Group-IB обнаружили в более чем 25 странах по всему миру. Group-IB выпустила первый подробный отчет «Silence: Moving into the darkside» о деятельности группы Silence, где проанализированы инструменты, техники и схемы атак группы. Аналитики компании выдвигают гипотезу о том, что по крайней мере один из двух участников Silence — это бывший или действующий сотрудник компании сферы информационной безопасности. Подтвержденный ущерб от деятельности Silence на данный момент составляет 52 млн руб.

Эксперты Group-IB Anti-Piracy оценили объем рынка интернет-пиратства в России за 2017 год. По данным компании, его рост составил 21% по сравнению с прошлым годом и достиг 85 млн долл. количество запросов в популярных поисковых системах на просмотр фильмов и сериалов бесплатно составил почти 10 млрд за год. Таким образом, в среднем, исходя из суммарной аудитории Интернета прошлого года по России (~90 млн ), на каждого пользователя в среднем приходится порядка 110 просмотров пиратских копий кинокартин. Рост числа краж контента с экранов кинотеатров привел к тому, что количество пиратских копий фильмов составило 211 единиц в 2017 году, что более чем в 6 раз превышает показатель годом ранее (33 «экранки»). При этом только за первые 9 месяцев 2018 года количество опубликованных «экранок» уже перевалило за отметку в 280 копий. Таким образом, почти каждая кинокартина, вышедшая в 2018 году в прокат, была скопирована пиратами и выложена в сеть.

Количество мошеннических и фишинговых сайтов по продаже продукции компании Apple, созданных после релиза новых моделей iPhone, увеличилось в два раза по сравнению с сентябрем 2017 года и составило более 800 ресурсов. За последние три месяца эксперты Group-IB обнаружили более 5 тыс. доменов, созданных для продажи новых iPhone, при этом часть из них используется мошенниками для фишинга, кражи информации о банковских картах и персональных данных пользователей. По оценкам специалистов Group-IB, потенциальная выручка топ-20 мошеннических сайтов может составить около $500 тыс.

Октябрь

CyberCrimeCon 2018, атаки на промышленность РФ, срок для создателя ботнета Mirai

Культовую площадку для экспертов по информационной безопасности посетили более 1800 гостей со всего мира, в том числе представители INTERPOL, киберполиций разных стран, корпораций, банков, госучреждений и криптоиндустрии. Выступления 30 спикеров прошли при полном аншлаге. Мероприятие освещали более 100 российских и международных журналистов. В своем выступлении Илья Сачков, основатель и CEO Group-IB, заявил о том, что оборонительная стратегия уже себя исчерпала. Переход от защиты к охоте за киберпреступниками — магистральный тренд рынка информационной безопасности. Изменилась главная идея: нужно стать охотником, а не мишенью для атак, быть на несколько шагов впереди и предотвращать киберугрозы еще на ранней стадии, подчеркнул Сачков. В рамках схемы парадигмы на конференции был анонсирован принципиально новый класс решений для обеспечения комплексной защиты против целевых атак.

Group-IB обнаружила большую партию данных скомпрометированных платежных карт, которые были выставлены на продажу 26 октября и 13 ноября на сайте Joker's Stash — одном из самых популярных андеграундных ресурсов для продажи данных украденных кредитных карт. До этой утечки эксперты Group-IB отследили две последовательные загрузки данных скомпрометированных банковских карт банков Пакистана на Joker's Stash. Первая произошла 26 октября, когда в продажу на Joker's Stash поступил новый дамп, называемый PAKISTAN-WORLD- EU-MIX-01. Эта база данных дампов содержит сведения о 10 467 платежных картах, из которых 8 704 принадлежат пакистанским банкам, включая банк BankIslami. Общая стоимость партии оценивается в 1,1 миллиона долларов США, а розничная стоимость варьировалась от 35 до 150 долларов США. Еще одна партия дампов была опубликована на Joker's Stash 31 октября. Она включала данные по 11 795 картам, выпущенным ведущими банками Пакистана и других стран: 710 дампов из неопределенных банков и 1031 дамп из банков за пределами Пакистана. В подборке не было опубликовано ни одного дампа карт банка BankIslami.

Специалисты Group-IB обнаружили атаку проправительственной хакерской группы на промышленные объекты в России и Беларуси. 19 октября с частного адреса было отправлено вредоносное письмо с темой «Перечень вопросов», к которому прилагался DOC-файл под названием «Перечень вопросов по Пекин-2018». Атака была направлена на промышленные объекты, принадлежащие России и Беларуси. По данным Group-IB, эту атаку совершила проправительственная группа хакеров.

Сотрудники управления «К» Министерства внутренних дел России при активной поддержке со стороны Group-IB и службы безопасности банка Почта Банк обнаружили преступную группу, которая взламывала личные кабинеты банков, интернет-магазинов и страховых компаний. Получив доступ к учеткам, злоумышленники под видом специалистов по информационной безопасности требовали от СБ ресурсов выкуп за предполагаемые «уязвимости» в системах. В качестве доказательства они предоставили скомпрометированные данные. Сумма «выкупа» составляла от 40 000 до 250 000 рублей. Кроме того, злоумышленники продали данные для доступа к учетным записям на хакерских форумах.

Суд Нью-Джерси вынес приговор создателю Mirai botnet, 22- летнему Парасу Джа из Фанвуда, после того, как обвиняемый признал себя виновным в нарушении Закона о борьбе с компьютерным мошенничеством и злоупотреблениями (CFAA). Злоумышленник был приговорен к шести месяцам домашнего ареста и выплате штрафа в размере $8,6 миллиона в качестве компенсации за атаки DDoS на системы Университета Рутгерса. Этот человек был также приговорен к 2500 часам общественных работ и к пяти годам освобождения под присмотром. Кроме того, Джа признал себя виновным в совершении нескольких DDoS-атак против своего собственного Университета Рутгерса в период с ноября 2014 года по сентябрь 2016 года.

Ноябрь

Глобальный офис Group-IB переедет в Сингапуре, хакеры атакуют от имени ЦБ РФ и сайты-клоны AliExpress

Расширяя присутствие на рынке Юго-Восточной Азии, Group-IB планирует инвестировать в развитие инфраструктуры по противодействию киберпреступности в регионе около $30 млн в течение ближайших лет. Об этом было объявлено на первой конференции CyberCrimeCon'18 в Сингапуре. К этому событию компания подошла в отличной бизнес-форме: выручка Group-IB относительно прошлого финансового года увеличилась на 62%, при этом международное направление бизнеса показало рост почти на 50%, из них более 30% уже приходится на Юго-Восточную Азию. Компания выросла в два раз по численности - более 300 человек.

Сразу две хакерские группы атаковали российские банки якобы от имени Центробанка. Group-IB, международная компания, специализирующаяся на предотвращении кибератак, зафиксировала массовые вредоносные рассылки по российским финансовым учреждениям якобы от имени Центрального Банка России и ФинЦЕРТ, структуры Департамента информационной безопасности ЦБ. Эксперты Group-IB установили, что атаку 15 ноября могла провести хакерская группа Silence, а 23 октября — MoneyTaker. Обе преступных группы включены Group-IB в число наиболее опасных для российских и международных финансовых организаций.

Накануне BlackFridaySale эксперты Brand Protection обнаружили более 400 сайтов-клонов, копирующих популярную торговую интернет-площадку AliExpress, и еще две сотни сайтов, созданных под известные бренды и интернет-магазины. Целью подобных мошеннических ресурсов может быть как реализация контрафактных товаров, так и кража денег или данных банковских карт пользователей.

Marriott признал, что хакеры взломали базу данных о бронировании номеров в своих дочерних отелях Starwood и украли личные данные примерно 500 миллионов гостей. Вторжение было обнаружено еще 8 сентября, когда система мониторинга обнаружила доказательства попытки доступа к базе данных по бронированию гостей Starwood в Соединенных Штатах. По данным компании, хакеры с 2014 года получили доступ к системе бронирования гостей Starwood и скопировали и зашифровали информацию. Неизвестные хакеры завладели доступом к личной информации почти 327 миллионов гостей, скомпрометированные записи включают имена, почтовые адреса, номера телефонов, адреса электронной почты, номера паспортов, даты рождения, пол, информацию о прибытии и отъезде, дату бронирования. Это один из крупнейших инцидентов в секторе гостиничном бизнесе.

Минюст США обвинил в создании и распространении SamSam, терроризирующего американские города, двух граждан Ирана — Фарамарц Шахи Саванди (34 года) и Мохаммада Мехди Шах Мансури (27 лет). Они разработали SamSam в декабре 2015 года, с того момента шифровальщик атаковал более 200 организаций, в том числе государственные учреждения, муниципалитеты и больницы. Почти 74% известных жертв SamSam находятся в США, остальные - в Великобритании и на Ближнем Востоке. Общий ущерб превысил $30 млн. Охранная фирма Sophos отследила адреса биткойн-кошельков, управляемых преступной группировкой, и обнаружила, что 233 жертвы перечислили мошенникам с конца 2015 года более $ 5,9 млн. Самый крупный выкуп составил $64 тыс. Сыщики установили, что Саванди и Мансури использовали иранские биржи биткойнов для обмена криптовалюты на иранский риал. ФБР объявило создателей SamSam в розыск.

Декабрь

Новые массовые атаки RTM, компрометация 40 000 учеток на госпорталах и теневой рынок продаж алкоголя снова растет

Group-IB зафиксировала массовую вредоносную рассылку по финансовым учреждениям и предприятиям. Злоумышленники отправили более 11 000 писем с фейковых почтовых адресов российских госучреждений — все они содержали троян RTM, предназначенный для кражи денег из сервисов дистанционного банковского обслуживания (ДБО) и платежных систем. В среднем, одно успешное хищение такого типа приносит злоумышленникам около 1,1 млн рублей. В настоящее время вредоносные рассылки продолжаются.

Group-IB зафиксировала более 40 000 скомпрометированных учетных записей пользователей крупнейших государственных ресурсов в 30 странах мира. Наибольшее количество пострадавших оказалось в Италии (52%), Саудовской Аравии (22%) и Португалии (5%). Предположительно эти данные могли быть проданы на подпольных хакерских форумах или использованы в целенаправленных атаках для кражи денег или информации. CERT-GIB — Центр реагирования на инциденты информационной безопасности Group-IB оперативно предупредил уполномоченные государственные организации CERT в этих странах о потенциальной опасности. Скомпрометированные злоумышленниками учетные записи — логины и пароли от личных кабинетов пользователей государственных порталов в 30 странах мира — были обнаружены системой Group‑IB Threat Intelligence (Киберразведка). Среди этих сайтов оказались государственные ресурсы Польши (gov.pl), Румынии (gov.ro) и Швейцарии (admin.ch), Армии обороны Израиля (idf.il), Правительство Болгарии (government.bg), Министерство финансов Грузии (mof.ge), Управление иммиграционной службы Норвегии udi.no, Министерства иностранных дел Румынии и Италии и так далее.

В последнем месяце 2018 года была зафиксирована вредоносная рассылка, совершенная предположительно группой MoneyTaker. В письме клиентов благодарили за выбор некой управляющей компании и сообщали о якобы успешной выдаче паев инвестфонда. Вложения содержало «уведомление» о проведении операции в реестре владельцев инвестиционных паев, однако в результате на машину жертвы загружался Meterpreter.

Эксперты направления Brand Protection Group-IB оценили оборот «теневого» рынка продажи алкоголя в Интернете в 2018 году в 2,1 млрд. руб. Это почти на 400 млн рублей (+23% ) больше, чем в 2017 году. В общей сложности специалистами обнаружено около 4000 интернет-сайтов, торгующих спиртным в обход действующего законодательства. При этом злоумышленники создают целые сети из «зеркал» своих алкомагазинов — в случае блокировки одного сайта они оперативно переезжают на запасной ресурс.

Полтора года спустя после эпидемии WannaCry этот вирус-шифровальщик по-прежнему демонстрирует свою активность. Эпидемия могла иметь более печальные последствия, если бы распространение вредоноса не остановил ИБ-специалист Маркус Хатчинс (Marcus Hutchins aka MalwareTech) из компании Kryptos Logic. Сам Хатчинс уже более года находится под арестом в США по обвинению в создании и распространении вредоносного ПО, однако его коллеги из Kryptos Logic по-прежнему поддерживают работу «аварийного рубильника». По данным аналитиков, домен, играющий роль «стоп-крана» для вредоносной программы, до сих пор привлекает около 17 000 000 запросов каждую неделю. Эти обращения исходят с 630 000 уникальных IP-адресов, относящихся к 194 странам мира.

Прогнозы на 2019 год

Энергетические объекты останутся главной мишенью группировок, нацеленных на саботаж, однако озаботиться оценкой компрометации своих систем и быть готовыми к атакам необходимо всем объектам критической инфраструктуры, связанным с жизнеобеспечением населения.

Организациям, которым хотят защитить свои секреты, необходимо думать о безопасности не только своих корпоративных инфраструктур, но и домашних сетей и персональных устройств топ-менеджеров.

Фишинг останется основным методом заражения критических инфраструктур, но с развитием отдельных групп этот метод будет замещаться другими, более сложными в обнаружении техниками. В этом году тренд может сместиться в сторону уязвимого сетевого оборудования, с помощью которого эта сеть подключена к Интернет.

Приоритетными целями атакующих могут стать производители материнских плат и поставщики оборудования в государственные органы.

Реальная эксплуатация side-channel атак приведет к новым массовым утечкам из облачных сервисов, что может подорвать доверие к облачным инфраструктурам в случае резонансных инцидентов.

Аресты руководителей Cobalt и Fin7 могут привести к тому, что оставшиеся члены этих групп начнут формировать новые команды, что может привести к увеличению общего количества активных групп и обучению новых участников.

Сегодня все финансово-мотивированные киберпреступные группы, которые занимаются целенаправленными атаками на банки, являются русскоговорящими. Мы ожидаем, что аналогичные группы будут сформированы из хакеров из Латинский Америки, а также стран Азии. Скорее всего, их первыми целями будут банки в их регионах.

Мы ожидаем, что такие группы, как Silence, MoneyTaker и Cobalt могут провести несколько успешных целевых взломов криптобирж.

Атаки на ICO проекты по-прежнему будут актуальными для всех проектов, которые способны привлечь хорошие инвестиции.

Крупнейшие майнинг-пулы в мире могут стать целью не только киберпреступников, но и прогосударственных атакующих. При определенной подготовке это может позволить им взять под контроль 51% мощностей для майнинга и захватить управление криптовалютой.

Мы ожидаем начала атак на мобильный банкинг для юридических лиц в России. Основным методом методом распространения может стать контекстная реклама в поисковых системах.

После распространения исходных кодов основной угрозой для банкоматов без компрометации банковских сетей станет вредоносная программа «Котлета» (Cutlet).

Банковские Android-трояны будут захватывать мировой рынок и продолжат вытеснять банковские трояны для ПК.

Если материал вам понравился, расскажите о нём друзьям!

Другие интересные статьи:

Hi-Tech Crime Trends 2020/2021

киберугрозы, тенденции и прогнозы

Щит и меч

Group-IB Fraud Hunting Platform защитит «цифровую личность» пользователя

Big Game Hunting - теперь и в России

Операторы шифровальщика OldGremlin атакуют крупные компании и банки в России

Вскрываем ProLock

Анализ действий операторов нового вымогателя по матрице MITRE ATT&CK

Узнавайте первыми