Киберугрозы, тенденции и прогнозы. 2019-2020
Ведущим и самым пугающим трендом 2019 года мы считаем использование кибероружия в открытых военных операциях. Конфликт между государствами приобрел новые формы, и кибер-активность играет ведущую роль в этом деструктивном диалоге. Атаки на критическую инфраструктуру и целенаправленная дестабилизация сети Интернет в отдельных странах открывают новую эпоху проведения кибератак.
Сокращение в России ущерба от всех видов киберпреступлений с использованием вредоносных программ, направленных как напрямую на банки, так и их клиентов привело к рекордному падению рынка на 85%. Согласно оценке Group-IB рынок высокотехнологичных преступлений в финансовой отрасли России, сократился до 510 млн рублей за период H2 2018 — H1 2019 против 3,2 млрд рублей в предыдущем периоде. На фоне исхода финансово мотивированных группировок из зоны «РУ», сокращения числа Android-троянов и групп, занимающихся фишингом, в России растет количество преступлений против клиентов банков с использованием социальной инженерии и телефонного мошенничества.
Сокращение в России ущерба от всех видов киберпреступлений с использованием вредоносных программ, направленных как напрямую на банки, так и их клиентов привело к рекордному падению рынка на 85%. Согласно оценке Group-IB рынок высокотехнологичных преступлений в финансовой отрасли России, сократился до 510 млн рублей за период H2 2018 — H1 2019 против 3,2 млрд рублей в предыдущем периоде. На фоне исхода финансово мотивированных группировок из зоны «РУ», сокращения числа Android-троянов и групп, занимающихся фишингом, в России растет количество преступлений против клиентов банков с использованием социальной инженерии и телефонного мошенничества.
Топ-10 тенденций 2019 года
По материалам отчета Hi-Tech Crime Trends 2019/2020 Group-IB за период H2 2018 — H1 2019.
Проведение открытых военных операций с использованием кибероружия
За первые 6 месяцев 2019 года стало известно о трех открытых военных операциях: в марте в результате атаки на ГЭС Венесуэлы большая часть страны осталась без электричества на несколько дней, в мае в ответ на кибератаку армия Израиля произвела ракетный удар по хакерам группировки «Хамас», а в июне США использовали кибероружие против иранских систем контроля за запуском ракет в ответ на сбитый американский беспилотник. Инструменты атакующих не установлены, при этом в последнем случае кибератака произошла всего через несколько дней после инцидента с беспилотником. Это подтверждает предположение о том, что критические инфраструктуры многих стран уже скомпрометированы, и атакующие просто остаются незамеченными до нужного момента.
Нарушение стабильности интернета на государственном уровне
В современном мире максимальный социальный и экономический ущерб может быть нанесен за счет отключения людей и бизнеса от связи. При этом страны, выстраивающие централизованный контроль доступа в Интернет, становятся более уязвимыми и могут стать первой мишенью. За последние годы были опробованы атаки на разные уровни инфраструктуры коммуникаций, и к 2019 году известны успешные случаи атак на маршрутизацию сети Интернет и BGP hijacking, на регистраторов доменных имен, администраторов корневых DNS-серверов, администраторов национальных доменов и DNS hijacking, на локальные системы фильтрации и блокировки трафика.
Новые угрозы, связанные с повсеместным внедрением 5G
Переход на технологии 5G только усугубит ситуацию с угрозами для телекоммуникационной отрасли. Первой причиной являются архитектурные особенности, которые открывают возможности для новых типов атак на сети операторов. Вторая причина — конкурентная борьба за новый рынок, которая может привести к демонстрации возможностей по взлому отдельных вендоров и появлению большого количества анонимных исследований об уязвимостях определенных технологических решений.
Скрытые угрозы со стороны проправительственных группировок
Несмотря на то, что за последний период было опубликовано относительно большое количество исследований о новых проправительственных группировках, эта сфера остается малоизученной. Была замечена активность 38 групп (7 – новые, целью которых является шпионаж), однако это не значит, что другие известные группы прекратили свою деятельность — скорее всего, их кампании просто остались ниже радаров аналитиков.
К примеру, в сфере энергетики известно лишь два фреймворка — Industroyer и Triton (Trisis) — и оба были найдены в результате ошибки их операторов. Наиболее вероятно, что существует значительное количество подобных, еще не обнаруженных угроз, и это бомба замедленного действия. Также стоит отметить, что известные в публичном пространстве проправительственные группировки в основном из развивающихся стран, однако информация об атаках и инструментах подобных групп из развитых стран по-прежнему не публикуется.
К примеру, в сфере энергетики известно лишь два фреймворка — Industroyer и Triton (Trisis) — и оба были найдены в результате ошибки их операторов. Наиболее вероятно, что существует значительное количество подобных, еще не обнаруженных угроз, и это бомба замедленного действия. Также стоит отметить, что известные в публичном пространстве проправительственные группировки в основном из развивающихся стран, однако информация об атаках и инструментах подобных групп из развитых стран по-прежнему не публикуется.
Обратный взлом: противостояние проправительственных группировок
В 2019 году участились случаи появления в открытом доступе информации
об инструментах атакующих от имени якобы хактивистов или бывших участников группировки. Чаще всего, это примеры обратного взлома, когда злоумышленники сами становятся жертвами. В настоящее время частные компании не имеют права проводить подобные операции, и такие полномочия официально есть только у специальных государственных служб.
об инструментах атакующих от имени якобы хактивистов или бывших участников группировки. Чаще всего, это примеры обратного взлома, когда злоумышленники сами становятся жертвами. В настоящее время частные компании не имеют права проводить подобные операции, и такие полномочия официально есть только у специальных государственных служб.
Целенаправленные атаки на иностранные банки со стороны русскоязычных групп
Всего 5 групп представляют сейчас реальную угрозу финансовому сектору: Cobalt, Silence, MoneyTaker — Россия, Lazarus — Северная Корея, SilentCards — новая группа из Кении. В России ущерб от целенаправленных атак на банки со стороны финансово- мотивированных группировок за исследуемый период сократился почти в 14 раз. Это связано в том числе с переключением фокуса русскоязычных финансово-мотивированных групп на иностранные банки.
Постепенное исчезновение троянов для ПК и Android
Тенденция исчезновения троянов для ПК с ландшафта киберугроз продолжается: в России — на «родине» этого типа вредоносных программ — их перестали писать. Единственной страной, активно создающей трояны, стала Бразилия, но их использование носит исключительно локальный характер. Только Trickbot значительно эволюционировал за последний год и теперь может использоваться как для целенаправленных атак на банки, так и для шпионажа за государственными учреждениями, как это было с трояном Zeus.
Трояны для Android исчезают медленнее, чем для ПК, однако в любом случае количество новых в разы меньше вышедших из употребления. Новые программы эволюционируют от перехвата SMS к автоматическому переводу средств через банковские мобильные приложения — автозаливу.
Количество активных троянов продолжит снижаться за счет внедрения средств защиты и резкого сокращения экономической выгоды для атакующих.
Трояны для Android исчезают медленнее, чем для ПК, однако в любом случае количество новых в разы меньше вышедших из употребления. Новые программы эволюционируют от перехвата SMS к автоматическому переводу средств через банковские мобильные приложения — автозаливу.
Количество активных троянов продолжит снижаться за счет внедрения средств защиты и резкого сокращения экономической выгоды для атакующих.
Эволюция способов социальной инженерии без использования вредоносного кода
На фоне падения троянов растет угроза социальной инженерии без использования вредоносного кода. Злоумышленники продолжают использовать поддельные аккаунты в соцсетях, совершают звонки с надежных номеров по хорошо продуманным скриптам, покупают для надежности
базы паспортных данных и т.д. К относительно новым методам социальной инженерии можно отнести управление телефоном с помощью программ удаленного доступа, которые жертвы устанавливают на свои устройства под руководством телефонных мошенников.
базы паспортных данных и т.д. К относительно новым методам социальной инженерии можно отнести управление телефоном с помощью программ удаленного доступа, которые жертвы устанавливают на свои устройства под руководством телефонных мошенников.
Рост рынка кардинга за счет JS-снифферов
При падении финансовой отдачи от использования банковских троянов для ПК и Android злоумышленники стали применять более эффективный способ заработка — JS-снифферы. Уже сейчас их количество превышает количество троянов, а общее количество скомпрометированных с их помощью карт выросло на 38%. JS-снифферы станут наиболее динамично развивающейся угрозой, особенно для стран, где не распространена система 3D Secure.
Новые атаки на страховые, консалтинговые и строительные компании
В 2019 году специалисты Group-IB зафиксировали атаки новой группы, получившей имя RedCurl. Основные цели группы — шпионаж и финансовая выгода. После выгрузки значимой документации злоумышленники устанавливают майнеры в инфраструктуру скомпрометированной компании.
Особенностью этой группы можно назвать очень высокое качество фишинговых атак — под каждую компанию злоумышленники создают отдельное письмо. RedCurl использует уникальный самописный троян, осуществляющий коммуникацию с управляющим сервером через легитимные сервисы, что сильно затрудняет обнаружение вредоносной активности в инфраструктуре.
Особенностью этой группы можно назвать очень высокое качество фишинговых атак — под каждую компанию злоумышленники создают отдельное письмо. RedCurl использует уникальный самописный троян, осуществляющий коммуникацию с управляющим сервером через легитимные сервисы, что сильно затрудняет обнаружение вредоносной активности в инфраструктуре.
Прогнозы:
Everyday we work hard to make life of our clients better and happier
1
Прогноз: стабильность интернета в некоторых странах будет под угрозой
Ранее казавшиеся нереалистичными сценарии отключения страны от Интернета становятся все более вероятными. Для проведения атаки, способной нарушить стабильность работы глобальной сети в отдельно взятой стране, требуется длительная подготовка, однако технически это возможно. Неутихающая военная риторика и агрессия могут привести к тому, что мы станем свидетелями демонстрации таких возможностей. Государствам и частным компаниям стоит позаботиться об отказоустойчивости предоставляемых сервисов в случае возникновения таких ситуаций.
Регистраторы доменных имен — это часть критической инфраструктуры страны. Так как нарушение их работы влияет на функционирование глобальной сети, они являются объектом атак со стороны проправительственных атакующих. В следующем году высок риск большого количества успешных атак, часть из которых будет проведена с целью саботажа.
Регистраторы доменных имен — это часть критической инфраструктуры страны. Так как нарушение их работы влияет на функционирование глобальной сети, они являются объектом атак со стороны проправительственных атакующих. В следующем году высок риск большого количества успешных атак, часть из которых будет проведена с целью саботажа.
2
Угрозы для телекома
Демонстрация возможностей эксплуатации и нарушения работоспособности оборудования отдельных производителей 5G будут использоваться как один из методов конкурентной борьбы за новый рынок. Успешные атаки могут нанести производителям значительный репутационный ущерб. Более широкое внедрение 5G значительно увеличит возможности обычных киберпреступников по проведению DDoS-атак, манипуляции трафиком, распространению вредоносных программ.
3
Угрозы для энергетического сектора
Основным вектором для атакующих останутся ИТ-сети, доступ к которым необходим для шпионажа и сбора информации о том, как атаковать конкретную энергетическую компанию с целью саботажа. Компрометация ОТ-сетей — это следующий шаг после успешного проникновения в ИТ-сегмент сети. Выявить компрометацию ОТ-сети возможно только в двух случаях: если атака готовилась с целью саботажа или если оператор вредоносной программы допустил ошибку. Поэтому чаще всего атакующие максимально скрывают свое присутствие до крайнего момента, когда понадобится провести массовую атаку.
Большую проблему для энергетического сектора будут составлять "supply chain"- атаки со стороны поставщиков программного и аппаратного обеспечения. Прежде всего будут атакованы управляющие компании, и уже через них пойдет развитие атак на сети энергетических компаний. Наибольшую опасность следует ожидать со стороны развитых стран. При том что они обладают более совершенным арсеналом для проведения атак, их активность менее заметна и изучена.
Большую проблему для энергетического сектора будут составлять "supply chain"- атаки со стороны поставщиков программного и аппаратного обеспечения. Прежде всего будут атакованы управляющие компании, и уже через них пойдет развитие атак на сети энергетических компаний. Наибольшую опасность следует ожидать со стороны развитых стран. При том что они обладают более совершенным арсеналом для проведения атак, их активность менее заметна и изучена.
4
Угрозы для финансовой отрасли
Русскоязычные группы Silence, MoneyTaker, Cobalt вероятнее всего продолжат географическую экспансию, увеличивая количество атак за пределами России. Для вывода денег они будут использовать атаки на систему карточного процессинга и трояны для банкоматов. SWIFT будет намного реже попадать в фокус этих групп.
Lazarus останется единственной группой, которая будет совершать хищения через SWIFT и ATM Switch. Успешные атаки через ATM Switch были проведены в банках, использующих программное обеспечение под операционной системой IBM AIX. Поэтому банки, использующие это программное обеспечение, первыми попадут на радар группы.
Успешные атаки на банки будут завершаться выводом инфраструктуры из строя для сокрытия следов.
Lazarus останется единственной группой, которая будет совершать хищения через SWIFT и ATM Switch. Успешные атаки через ATM Switch были проведены в банках, использующих программное обеспечение под операционной системой IBM AIX. Поэтому банки, использующие это программное обеспечение, первыми попадут на радар группы.
Успешные атаки на банки будут завершаться выводом инфраструктуры из строя для сокрытия следов.
Если материал вам понравился, расскажите о нём друзьям!
Другие интересные статьи:
Узнавайте первыми
о новейших киберугрозах и расследованиях
*Нажимая «Подписаться», вы соглашаетесь на получение новостей компании,
защиту и обработку своих персональных данных в соответствии с ФЗ РФ
защиту и обработку своих персональных данных в соответствии с ФЗ РФ
Предотвращение
Реагирование
Расследование
Продукты
Threat Intelligence & Attribution
Threat Hunting Framework
Fraud Hunting Platform
Digital Risk Protection
Anti-Piracy
Threat Hunting Framework
Fraud Hunting Platform
Digital Risk Protection
Anti-Piracy
Компания
Связаться с нами
Круглосуточная линия +7 495 984-33-64
Электронная почта
info@group-ib.ru
info@group-ib.ru
Адрес офиса
Москва, улица Шарикоподшипниковская, д.1, БЦ «Прогресс Плаза», 9 этаж
Москва, улица Шарикоподшипниковская, д.1, БЦ «Прогресс Плаза», 9 этаж
