Ущерб от «шифровальщиков» превысил 1 млрд. долл.

3 декабрь, 2020 - 16:15Евгений Куликов

Наибольший финансовый ущерб в уходящем году нанесли атаки вирусов-шифровальщиков. Расцвел рынок продажи доступов в скомпрометированные сети компаний. Вместе с тем, более чем вдвое увеличился сбыт краденых банковских карт. Эти и другие тенденции в сфере киберпреступлений рассматриваются в отчете Group-IB

В период пандемии – с конца 2019 г. и по сей день – мир захлестнула новая волна вирусов-шифровальщиков. Жертвой таких атак может стать любая компания, независимо от масштабов и отрасли, главный критерий для атакующих – финансовая выгода. За последний год только публично известно стало о более чем 500 атаках шифровальщиков на компании в более чем 45 странах мира. Нижняя граница суммарного ущерба от действий программ-вымогателей превышает 1 млрд. долл., по оценкам Group-IB. Однако реальный ущерб многократно выше, поскольку зачастую пострадавшие компании предпочитают замалчивать инцидент, заплатив вымогателям.

Наиболее популярными целями вымогателей были компании из США: на них пришлось около 60% всех известных инцидентов. Доля атак в странах Европы составила около 20%. В районе 10% пришлось на страны Северной и Южной Америки (за исключением США) и Азии (7%). В топ-5 наиболее атакуемых отраслей входят производство (94 жертвы), ретейл (51), государственные учреждения (39), здравоохранение (38), строительство (30).

Наиболее опасными шифровальщиками в рассматриваемом периоде были Maze и REvil – на них приходится более 50% успешных атак. За ними следуют Ryuk, NetWalker, DoppelPaymer.

Стимул для расцвета эры шифровальщиков дали приватные и публичные партнерские программы, что привело к опасному симбиозу вымогателей со злоумышленниками, которые специализируются на компрометации корпоративных сетей. Еще одной причиной их роста становится то, что используемые компаниями средства кибербезопасности «пропускают» шифровальщиков, не справляясь с обнаружением и блокировкой угроз на ранней стадии. Операторы шифровальщиков выкупают доступ и атакуют жертву. После того как та выплачивает выкуп, процент от этой суммы получает партнер. Исследователи выделяют такие векторы взлома сетей, как вредоносные рассылки, подбор паролей к интерфейсам удаленного доступа (RDP, SSH, VPN), вредоносное ПО (например, загрузчики), а также использование новых типов бот-сетей (брутфорс ботнет), назначение которых – распределенный подбор паролей с большого количества зараженных устройств, в том числе серверов.

Кроме того, в последний год вымогатели взяли на вооружение новую технику: перед шифрованием они копируют всю информацию компании-жертвы на свои серверы с целью дальнейшего шантажа. Если жертва не заплатит выкуп, она не только потеряет данные, но и увидит их в открытом доступе. В июне REvil начали проводить аукционы, где в качестве лотов выступали украденные данные.

В отчете Hi-Tech Crime Trends 2020-2021 приводятся рекомендации по противодействию атакам шифровальщикам, как в части технологических мер для служб информационной безопасности, так и в части повышения экспертизы команд кибербезопасности в целях борьбы с этой угрозой.

Также уходящий год показал, что все чаще шпионаж сменяется активными попытками уничтожения объектов инфраструктуры. Арсенал атакующих активно пополняется инструментами для атак на физически изолированные сети объектов критической инфраструктуры. Очевидной целью атакующих становится ядерная энергетика. Если в прошлом году в публичном пространстве не было зафиксировано ни одной атаки, то в этом инциденты произошли на ядерных объектах Ирана и Индии. Еще одной резонансной атакой стала попытка диверсии в Израиле, где целью стали системы водоснабжения, в которых хакеры пытались изменить уровень содержания хлора. Успех этой атаки мог привести к серьезной нехватке воды и потерям среди гражданского населения.

При этом прогосударственные группы не теряют интереса к телекоммуникационному сектору: за анализируемый период здесь проявляли активность 11 групп, связанных со спецслужбами. Задачами злоумышленников по-прежнему остаются шпионаж за телекомоператорами и попытки вывода их инфраструктуры из строя. В частности, были установлены новые рекорды мощности DDoS атак: 2,3 ТБ/с и 809 млн пакетов в секунду. Значительной проблемой остается перехват или утечка BGP-маршрутов. За последний год было публично зафиксировано девять таких инцидентов.

На карте гонки киберпротивостояния спецслужб наибольшее количество групп сосредоточено в Китае – 23, в Иране – 8, в Северной Корее и России – по 4 группы, в Индии – 3, в Пакистане и Секторе Газа – по 2. Замыкают антирейтинг Вьетнам, Турция и Южная Корея – по одной группе в каждой стране.

Согласно проанализированным данным Group-IB, самым атакуемым за отчетный период стал Азиатско-Тихоокеанский регион, к которому проявляли интерес проправительственные группы из Китая, Северной Кореи, Ирана и Пакистана: суммарно 34 кампании было проведено в данном регионе. На втором месте Европейские страны (22 кампании), которыми в основном интересовались группы из Китая, Пакистана, России и Ирана. Далее следуют Средний Восток и Африка: здесь было проведено 18 кампаний, в основном, хакерами из Ирана, Пакистана, Турции, Китая и Газы. Россия и США – наименее атакуемые державы. Согласно аналитике, приведенной в отчете, 15 кампаний было проведено в США и 9 в России. Состав атакующих при этом схож для обеих стран – в основном, это группы из Китая, Северной Кореи и Ирана.

Также аналитиками было обнаружено семь ранее неизвестных APT-групп, среди них: Tortoiseshell (Иран), Poison Carp (Китай), Higaisa (Южная Корея), Avivore (Китай), Nuo Chong Lions (Саудовская Аравия), а также Chimera и WildPressure, принадлежность которых к какой-либо стране остается не установленной. Кроме того, выявлена новая активность шести групп, которые оставались незамеченными последние несколько лет. Это лишний раз показывает, что не стоит недооценивать APT-группы и их изощренность.

Объем продаваемых на даркнет-форумах доступов к корпоративным сетям компаний увеличивается ежегодно и 2020 г. уже стал рекордным. Оценить общий объем рынка продажи доступов в андеграунде достаточно сложно: злоумышленники часто не публикуют цены, а сделки происходят «в привате». Между тем, эксперты Group-IB оценивают объем этого рынка в текущем периоде (H2 2019 – H1 2020) в $6189388, что вчетверо больше прошлого аналогичного промежутка времени.

Новой тенденцией стало участие в этом «бизнесе» прогосударственных групп, стремящихся найти дополнительное финансирование: они также начинают продавать доступы в корпоративные сети. Только за первое полугодие хакерами было выставлено на продажу 277 лотов по продаже доступов к взломанным корпоративным сетям компаний. Количество продавцов также выросло до 63, из них 52 начали свою активность в этом году. Для сравнения в 2018 г. активными были 37 продавцов доступов. Суммарно рост продаж доступов в скомпрометированные сети компаний составил 162% относительно прошлогоднего периода.

Анализируя сегмент продажи доступов, аналитики Group-IB прослеживают географическую и отраслевую корреляции с атаками шифровальщиков: наибольшее количество лотов было выставлено по американским компаниям (27%), а наиболее атакуемой отраслью в 2019 г. оставалось производство (10,5%), а 2020 г. принес спрос на доступы в государственные организации (10,5%), образовательные учреждения (10,5%) и ИТ-компании (9%). При этом продажа доступа в компанию, как правило, является лишь этапом в реализации атаки: полученные привилегии могут быть использованы как для запуска программы-шифровальщика с последующим вымогательством, так и для кражи данных с целью продажи на даркнет-форумах или шпионажа.

Объем рынка кардинга за исследуемый период вырос на 116% – с 880 млн. до 1,9 млрд. долл. – по сравнению с прошлым годом. Высокие темпы роста характерны как для текcтовых данных (номер, дата истечения, имя держателя, адрес, CVV), так и дампов (содержимое магнитных полос карт). Количество предлагаемых к продаже текстовых данных выросло на 133% – с 12,5 млн. до 28,3 млн. карт, а дампов на 55% – с 41 млн. до 63,7 млн. Средняя цена за текстовые данные банковской карты – $12, дампы – $17. Максимальная цена за текст – 150$, за дамп – 500$.

Основным способом компрометации данных магнитной полосы является заражение компьютеров с подключенными POS-терминалами специальными троянами, собирающими данные из оперативной памяти. За отчетный период была выявлена активность 14 троянов, используемых для этих целей. Основной целью мошенников являются банковские карты, выпущенные банками США: на их долю приходится более 92% всех взломанных карт, затем с большим отрывом идут Индия и Южная Корея. За исследуемый период объем рынка дампов вырос на 119% и достиг 1,5 млрд. долл.

Текстовые данные воруют с помощью фишинговых сайтов, банковских троянов под ПК, Android, а также в результате взломов сайтов электронной коммерции и использования JavaScript-снифферов. За прошедший год именно использование JS-снифферов для кражи банковских карт стало одним из основных способов получения больших объемов платежной информации. На их рост также повлиял тренд на перепродажу доступов к различным сайтам и организациям в даркнете. Всего на данный момент специалистами Group-IB отслеживается 96 семейств JS-снифферов, что в 2,5 раза больше, чем в прошлом году. В целом, по данным Group-IB, за прошедший год было обнаружено почти 460 тыс. банковских карт, скомпрометированных при помощи JS-снифферов. Объем рынка текстовых данных банковских карт за исследуемый период вырос на 101% и достиг 361 млн. долл.

В анализируемый период было выявлено и заблокировано на 118% больше фишинг-ресурсов, чем ранее. Аналитики объясняют этот рост несколькими причинами, главная из которых – пандемия: веб-фишинг как одна из наиболее простых схем заработка привлекла внимание большей аудитории, лишившейся доходов. Увеличение спроса на покупки через интернет сыграло на руку фишерам: они быстро подстроились под новую реальность и начали проводить фишинговые атаки на сервисы и отдельные бренды, которые ранее не имели для них особого экономического эффекта.

Если в предыдущие годы злоумышленники прекращали свои кампании после блокировки мошеннических веб-ресурсов и переключались на другие бренды. Сегодня они автоматизируют атаку, выводя новые фишинговые единицы на смену заблокированным.

С начала года наблюдается рост продвинутой социальной инженерии, где в фишинговой атаке применяются многоходовые сценарии. В таких набирающих популярность фишинговых схемах жертву предварительно прорабатывают – устанавливают с ней контакт (например, посредством мессенджера), создают вокруг нее атмосферу легитимности действий и только после этого направляют на фишинговую страницу. Трендом этого года стало использование одноразовых ссылок. Пользователь получает уникальную ссылку, которая становится неактивной после первого открытия. Если он перешел по ссылке хотя бы раз, то получить этот же контент повторно для сбора доказательной базы не получится. А без нее процесс блокировки фишингового ресурса значительно усложняется.

Наибольшее количество фишинга было создано под онлайн-сервисы (39,6%). Сюда входит фишинг для сбора учетных записей Microsoft, Netflix, Amazon, eBay, Valve Steam и т.п. Далее следуют почтовые сервисы (15,6%), финансовые учреждения (15%), облачные хранилища (14,5%), платежные сервисы (6,6%) и «новичок» списка – букмекерские конторы (2,2%). Практически исчезли фишинг-ресурсы, нацеленные на криптовалютные проекты в силу угасания интереса к ICO-проектам, которые на протяжении 2017-2018 гг. были популярны у фишеров.