Мир киберпреступлений: тренды и инсайты 2020?

Прошедший год стал одним из самых мучительных периодов для мировой экономики. Если кратко, то самая весомая причина – резкий всплеск киберпреступности. При этом крупнейший финансовый ущерб нанесли программы-вымогатели. Также вырос подпольный рынок по продаже доступа к корпоративным сетям и более чем в два раза увеличилось число кардинга (мошенничество с банковскими картами). В результате противостояния различных проправительственных хакерских групп на мировую сцену вышли новые игроки, а некоторые ранее известные группы возобновили свою деятельность.


Сколько зарабатывают кибершантажисты?

 По данным Group-IB, вымогательство обошлось миру более чем в $1 млрд.

За отчетный период, с конца 2019 года по ноябрь 2020, было зарегистрировано более 500 успешных атак с применением программ-вымогателей в 45+ странах. Пострадал как частный, так и государственный сектор. Поскольку злоумышленники мотивированы только финансовой выгодой, любая компания, независимо от ее размера и отрасли, легко может стать жертвой. Но дело даже не в деньгах, а в возможности восстановиться после таких «сюрпризов». Если ваша компания изначально вообще никак не защищена, у вас нет бекапов и плана действий, то такие атаки могут не только привести к простоям, но к остановке работы или даже закрытию. По оценкам Group-IB, общий финансовый ущерб от кибершантажа составил более $1 млрд., но фактический ущерб может быть значительно выше. Часто пострадавшие предпочитаю замалчивать подобные инциденты и по-тихому выплачивают выкуп. Да, и киберзлоумышленники не всегда публикуют данные из скомпрометированных сетей.

60% всех известных инцидентов приходится на США. Дальше идут Великобритания, Франция и Германия. На них в совокупности приходится около 20% всех атак с целью получения выкупа. Страны Северной и Южной Америки (без США) составляют 10%, а азиатские — 7%. Топ 5 наиболее часто атакуемых отраслей:

  1. Обрабатывающая промышленность;
  2. Розничная торговля;
  3. Государственные учреждения;
  4. Здравоохранение;
  5. Строительство.

Исследователи утверждают, что за более чем половиной всех успешных атак стоят шифровальщики Maze и REvil. На втором месте Ryuk, NetWalker и DoppelPaymer.

Чем же обусловлен такой бум кибервымогательства? Group-IB выделяет 2 причины. Появилось большое количество платформ, которые объединяют создателей программ-шифровальщиков и киберпреступников, участвующих в компрометации корпоративных сетей. Еще одной причиной роста называют слабые решения в области кибербезопасности. Многие компании используют инструменты, которые не способны обнаружить и тем более блокировать шифровальщика на ранних стадиях.

На каких условиях сотрудничают злоумышленники? Киберпреступники, которые хотят использовать программу-шифровальщика, покупают к ней доступ и затем шифруют устройства. Получив выкуп от жертвы, они платят фиксированную ставку своим «партнерам». Эксперты выделяют 3 основных способа получить доступ к корпоративным сетям: атаки на интерфейсы удаленного доступа (RDP, SSH, VPN), вредоносные программы, а также новые типы бот-сетей. Последние используются для атак с большого количества зараженных устройств, включая серверы.

Group-IB говорят, что в конце 2019 года кибершантажисты внедрили новый алгоритм давления. Они начали выгружать всю информацию о компании-жертве, а затем шантажировать, чтобы увеличить шансы на получение выкупа. То есть, если жертва отказывается платить выкуп, она рискует не только потерять все свои данные, но и допустить их утечку.

Сколько денег украли с кредитных карт?

С прошлого года рынок кардинга вырос на 116% – с $880 млн. до почти $2 млрд. Быстрый рост касается как текстовых данных (номера банковских карт, даты окончания срока действия, имена и фамилии владельцев, адреса, CVV), так и дампов (данные магнитной полосы). Максимальная цена за текстовые данные составляет $150 и $500 за дамп.

Собирают данные в основном заражая вирусами компьютеры через фишинг или распространяя по POS-терминалам специальных троянов. И в этой гонке по количеству скомпрометированных банковских карт лидирует США, на их долю приходится более 92%. Дальше идут Индия и Южная Корея.

С появлением коронавируса в наших жизнях многие перешли исключительно на онлайн покупки. Именно канал электронной коммерции наиболее уязвимый перед утечками. Сайты компаний редко, когда бывают хорошо защищены, да и пользователи предпочитают использовать легкие пароли.

Фишинговые атаки растут

По данным Group-IB количество фишинговых интернет-ресурсов выросло на 118% по сравнению с предыдущим годом. Основная причина это глобальная пандемию и локдаун. Веб-фишинг, один из самых простых способов заработка в киберпреступной индустрии, не удивительно, что он привлек тех, кто потерял работу. Ну, и возросший спрос на онлайн-покупки создал благоприятные условия для фишеров. Звезды сложились, а киберпреступники быстро адаптировались под новую реальность.

За год фишеры кардинально изменили свою тактику. Процессы стали более автоматизированные, а психологические игры – глубже. Теперь используются многоступенчатые сценарии. Разыгрываются сцены с участием актеров, которые втираются в доверие и только потом подкладывают жабу в виде опасных файлов и ссылок.

По данным исследователей, большинство фишинговых веб-страниц имитируют онлайн-сервисы (39,6%). Среди фишеров популярно собирать учетные данные пользователей для входа в Microsoft, Netflix, Amazon, eBay, и др. За онлайн-сервисами следуют электронная почта (15,6%), финансовые организации (15%), облачные системы хранения данных (14,5%), платежные сервисы (6,6%) и букмекеры (2,2%).

Скомпрометированные корпоративные сети на пике популярности

Продажи доступа к скомпрометированным корпоративным сетям растут из года в год, но в 2020 достигли своего пика. Оценить размер рынка трудно, поскольку предложения публикуются на подпольных форумах и редко, когда афишируют цену. Компания Group-IB мониторила такие форумы и пришла к выводу, что общий размер рынка по продаже доступа к корпоративным сетям составил $6,2 млн. Это в четыре раза больше по сравнению с предыдущим годом.

Продажа доступа к сети компании, как правило, является лишь одним из этапов кибератаки. Дальше события могут развиваться по таким сценариям: кибершантаж, кража данных с целью последующей их продажи на подпольных форумах или кибершпионажа.