РУССКИЙ
ENGLISH
НАЗАД
РУССКИЙ
ENGLISH

Hi-Tech Crime Trends 2020/2021

киберугрозы, тенденции и прогнозы
Когда мир сталкивается с неизвестной эпидемией, когда политическое противостояние между странами приобретает все более острые формы, а бизнес переживает кризис за кризисом — один показатель неизменно растет. Это уровень киберпреступности.

Начав исследовать эту область 17 лет назад, Group-IB все эти годы не только анализировала киберинциденты, отслеживала эволюцию тактик и ин- струментов атакующих, разрабатывала инновационные технологии для предотвращения киберугроз и охоты за киберпреступниками, но и обменивалась данными и делилась своими исследованиями с экспертным сообществом. Вот уже 8 лет главной аналитической площадкой является международная конференция CyberCrimeCon, на которой 25 ноября был представлен отчет Hi-Tech Crime Trends 2020-2021.

Новый отчет исследует разные аспекты функционирования киберкриминальной индустрии, анализирует атаки и прогнозирует изменение ладшафта угроз для различных отраслей экономики: финансовой, телекоммуникационной, ретейла, производства, энергетики. Ниже мы приводим выдержки из отчета, полную версию можно получить по ссылке в конце блога.
Для кого предназначен отчет Hi-Tech Crime Trends 2020/2021
Hi-Tech Crime Trends 2020-2021 предназначен для экспертов по риск-менеджменту, специалистов по стратегическому планированию задач в области кибербезопасности, представителей советов директоров, отвечающих за цифровые трансформации и инвестирование в защиту информационных систем.
Для ИТ-директоров, руководителей команд кибербезопасности, SOC-аналитиков, специалистов по реагированию на инциденты отчет Group-IB является практическим руководством стратегического и тактического планирования, предлагая аналитические инструменты, которые помогают корректировать и настраивать системы безопасности корпоративных и государственных сетей.
Прогнозы и рекомендации Hi-Tech Crime Trends 2020-2021 направлены на сокращение финансовых потерь и простоев инфраструктуры, а также на принятие превентивных мер по противодействию целевым атакам, шпионажу и кибертеррористическим операциям.
Угрозы в энергетическом секторе
Ядерная энергетика
стала явной целью атакующих. Если в прошлом году в публичном пространстве
не было зафиксировано ни одной атаки, то в этом на объекты ядерной энергетики Ирана нападали с целью саботажа, а в Индии —с целью шпионажа. Последняя привлекательна как страна, развивающая ядерную технологию и реакторы на основе тория.
9 групп
связанных со спецслужбами, и семь хакеров, продающих доступ в энергетические сети, проявили активность за исследуемый период. Также известно об 11 случаях успешных атак с использованием шифровальщиков.
Обычный криминал
начал активно проявлять интерес к энергетическим компаниям. Проводятся целе- направленные атаки с захватом контроля над всей сетью с целью заражения их инфраструктур программами-шифровальщиками.
Big Game Hunting
В некоторые программы-шифровальщики добавлены функции обнаружения процессов, связанных с системами управления промышленными предприятиями, чтобы обеспечить потерю данных, с которыми они работают, и повысить цену за возможность восстановления доступа. Особенно это относится к данным Historian-серверов.
Атаки на изолированные сети
Арсенал атакующих активно пополняется инструментами для атак
на физически изолированные сети. За последний год было обнаружено четыре инструмента, использующих USB-носители для преодоления воздушного зазора (air gap).
Ни одного нового фреймворка
не было выявлено за год, способного влиять на технологические процессы. Это говорит о более тщательном сокрытии их использования в атаках.
Прогнозы для энергетического сектора
1
Атаки на энергетический сектор
с целью саботажа будут проводиться на Ближнем Востоке или в странах с новыми военными конфликтами.
2
Шпионаж
остается основной целью атакующих, спонсируемых государствами.
3
Для более эффективных атак
злоумышленники будут нападать не только на крупные энергетические компании, но и на небольших операторов, обеспечивающих доставку электроэнергии на последней миле или оказывающих дополнительные услуги крупным энергетическим компаниям.
4
Сети 5G
подключат большое количество устройств, в т. ч. энергетических и промышленных предприятий, к глобальным сетям. В этом случае значительно увеличится
поверхность атаки.
5
Вектор проникновения
через уязвимое сетевое оборудование будет использоваться чаще и в основном более продвинутыми атакующими. Злоумышленники с меньшим уровнем навыков будут использовать стандартные схемы с фишингом.
Угрозы в банковском секторе
Эпоха целенаправленных атак
к на банки с целью хищения средств закончилась. В прошлом отчете мы писали о пяти активных группах: Cobalt, MoneyTaker, Silence, SilentCards и Lazarus, которые успешно совершали хищения через SWIFT, ATM Switch, карточный процессинг или банкоматы. В 2020 году хищения практически — ни одного публичного сообщения о хищении через SWIFT, ATM Switch, платежные шлюзы или ATM, когда доступ к ним был получен через сеть банка, не было зафиксировано в 2020 году.
Группа Lazarus
продолжала совершать попытки хищений через SWIFT, и для первоначального проникновения они использовали банковскую бот-сеть Trickbot, управляемую русскоговорящими киберпреступниками. Кроме того, были зафиксированы действия еще одной команды, использующей общедоступные трояны, кейлогеры и эксплойты без какой-либо модификации. Такой набор инструментов характерен только для атак на банки с минимальным уровнем безопасности, либо же их ошибочно определили специалисты, реагирующие на инцидент.
    Только группа Silence
    провела успешные хищения, не связанные со SWIFT, во второй половине 2019 года. Но в 2020 году они перестали атаковать финансовую отрасль.
    Филиппинский банк United Coconut Planters Bank (UCPB)
    был ограблен в сентябре 2020 года. Атакующим удалось получить доступ к карточному процессингу и изменить лимиты, а также доступ к системе межбанковских переводов InstaPay. В результате они смогли вывести из банка 167 млн песо ($3,44 млн).
    Инструменты целенаправленных атак на банкоматы
    получили незначительное развитие. За отчетный период были выявлены ATMDtrack от Lazarus и новая модификация ATM-трояна от группы Silence, однако об их успешном применении в реальных хищениях ничего не известно.
    И Cobalt, и Silence
    предположительно, стали участниками приватных партнерских программ операторов шифровальщиков, при этом банки перестали быть их основным фокусом.
    Прогнозы для банковского сектора
    1
    Большого количества
    целевых атак на банки с целью хищений в следующем году не ожидается. Редкие инциденты возможны, но широкой практики, как раньше, не будет.
    2
    Как и в других отраслях
    большую угрозу будут представлять группы, занимающиеся шифрованием данных, что подтверждается участившимися случаями продаж доступов к корпоративным сетям финансовых учреждений.
    3
    Более серьезной проблемой
    чем шифрование данных, может стать хищение информации о финансовых транзакциях VIP-клиентов и появление таких сведений в открытом доступе. Это может нанести значительный финансовый ущерб и побудить пострадавшие банки более активно платить атакующим.
    4
    Разглашение данных
    о финансовых транзакциях может запустить серию журналистских расследований по аналогии с «Панамской утечкой» (Mossack Fonseca) в 2015 году, в чем будут заинтересованы некоторые спецслужбы.
    5
    Другим трендом
    могут стать оповещения атакующими финансовых регуляторов о том, что банк имеет проблемы с безопасностью. Подобные действия могут послужить стимулом для выплат вымогателям более высоких сумм.


    Угрозы в телекоммуникационном секторе
    Прогосударственные группировки
    проявляют к телеком-сектору особый интерес, реализуя изощренные атаки. За анализируемый период в теле-коммуникационном секторе проявляли активность 6 групп, связанных с спецслужбами.
    Китай
    наращивает свои возможности по шпионажу за операторами мобильной связи. Для этого был разработан специальный троян для Linux-серверов, который позволяет перехватывать SMS-сообщения по определенным критериям.
    DDoS-атаки
    становятся мощнее. Установлены новые рекорды мощности DDoS-атак: 2,3 Тб/с и 809 млн пакетов в секунду.
    Сети 5G
    пока не применяются широко, поэтому прогнозы по связанным с ними угрозами не оправдываются. Однако они сохраняют потенциальную актуальность для ближайшего будущего.
    Перехват BGP
    или утечка BGP- маршрутов остается значительной проблемой. За последний год было публично зафиксировано девять подобных инцидентов.
    Прогнозы для телекоммуникационного сектора
    1
    Логическая перегрузка сети
    Учитывая нарастающие противостояния между государствами, ожидается, что будут зафиксированы первые атаки на операторов связи с целью вызова логической перегрузки сети, что приведет к каскадному эффекту и повлияет на множество секторов экономики.
    2
    Угрозы на удаленке
    В связи с массовым переходом сотрудников компаний на удаленный режим работы, который, возможно, сохранится даже после пандемии, количество атак на домашние роутеры и системы хранения данных возрастает, поскольку они позволяют продвинутым и прогосударственным атакующим более эффективно получать доступ к корпоративным данным, не проникая в периметр организации.
    Угрозы в ретейле
    19 скомпрометированных сетей ретейлеров
    удалось выявить за год. В прошлом году их было 17.
    Общий рынок кардинга вырос в два раза
    с $880 млн до $1,9 млрд, по сравнению с прошлым годом. Количество предлагаемых к продаже текстовых данных банковских карт выросло с 12,5 до 28,3 млн.
    Четыре основных угрозы
    можно выделить для ретейла, которые могут привести
    к потерям для бизнеса: атаки с помощью JS-снифферов, атаки на POS-терминалы, credential stuffing и атаки с помощью шифровальщиков.
    Группа Lazarus
    также начала использовать JS-снифферы. При этом используется модификация, которая позволяет им автоматически похищать денежные средства с Bitcoin-кошельков.
    Улучшились техники
    значительно затрудняющие обнаружение JS-снифферов на веб-ресурсах.
    Активность 14 POS-троянов
    была обнаружена за отчетный период. С их помощью было скомпрометировано и впоследствии выставлено на продажу 63,7 млн дампов банковских карт, что на 156% больше, чем в прошлом году.
    Целью мошенников
    в основном являются банковские карты, выпущенные в США — на их долю приходится более 92% всех дампов, затем идут Индия и Южная Корея.
    Боты без браузеров
    являются самым распространенным инструментом атак на ретейлеров. Они открывают новые возможности для обхода средств защиты и развития рынка киберпреступности.
    Прогнозы для ретейла
    1
    Большое количество онлайн-ресурсов
    взламывается ежедневно, и одним из основных средств монетизации является продажа баз данных или размещение фишинговых страниц. Но потери для бизнеса и доходы злоумышленников могут значительно увеличиться, если последние станут активно сотрудничать с разработчиками шифровальщиков.
    2
    Хакерские группы
    использующие JS-снифферы, будут представлять основную угрозу для онлайн-ретейла, особенно в США. При этом основные риски бизнеса будут связаны со штрафами за нарушение безопасности, а не c возмещением ущерба клиентам или репутационными потерями.
    3
    Для США
    по-прежнему большой проблемой остается угроза атак на компьютеры с подключенными POS-терминалами для сбора дампов банковских карт.
    4
    Несмотря на рост рынка кардинга
    задержание основных его игроков может привести к остановке его развития и перераспределению активности между мошенниками. Новым регионом с растущей активностью кардеров может стать Латинская Америка, где уже достаточно сильно сообщество хакеров и накоплен опыт использования финансовых троянов.