Расцвет империи: Group-IB назвала главные киберугрозы для бизнеса

Экосистема вымогателей 

Киберугрозой №1 для бизнеса, по словам Дмитрия Волкова, второй год подряд являются ransomware — программы-вымогатели. В отличие от некогда популярных целевых атак на банки этот криминальный бизнес сравнительно прост и легко масштабируется — злоумышленники проникают в инфраструктуру компаний, шифруют (а в некоторых случаях и похищают) их данные, а затем требуют выкуп. Суммы превышают десятки, а порой и сотни миллионов долларов.

Например, только в России количество атак шифровальщиков в 2021 году увеличилось на 200%. Здесь рекорд по максимальной сумме запрашиваемого выкупа — 250 млн рублей поставила группировка OldGremlin, хотя до «мирового рекорда» вымогателей из Hive, рассчитывающих получить от немецкого холдинга MediaMarkt $240 млн (по курсу ЦБ РФ на 20/12 — ок. 17,8 млрд руб.), им еще далеко. 

Dharma, Crylock и Thanos — три наиболее активных шифровальщика, атаковавших бизнес на территории постсоветского пространства, в общей сложности они совершили более 300 атак.

Впрочем, вымогателей интересуют не только деньги. В своем докладе на CyberСrimeCon Антонио Пироцци, руководитель группы по анализу киберугроз SentinelOne, назвалEvil Corp «одной из самых опасных хакерских группировок [в мире], являющейся одновременно и киберпреступной, и шпионской».

Эксперты Group-IB отмечают три фактора, из-за которых число атак и доходы операторов программ-шифровальщиков растут фантастическими темпами. Первый — это популярность так называемых партнерских программ (Ransomware-as-a-Service), куда группировки привлекают партнеров, делясь с ними процентом от выкупа. Всего за 2020 и 2021 годы появились 34 новые партнерские программы. Как рассказал Волков, популярность этого криминального бизнеса выросла настолько, что сами владельцы хакерских форумов выступили против активной рекламы программ-шифровальщиков «No more ransom!», чтобы привлекать внимание правоохранителей и журналистов к своему теневому бизнесу. 

Второй — рост числа Data Leak Site. Это ресурсы в даркнете, где операторы шифровальщиков выкладывают скомпрометированные данные компаний, если жертва не хочет платить выкуп. Число таких ресурсов за год (с середины 2020-го по середину 2021-го) выросло в два раза — с 13 до 28. А вот число компаний, чьи данные появились на таких сайтах, выросло на 935% — до 2371. При этом в Group-IB отмечают, что на такие сайты выкладывают данные только 10% атакованных компаний, а около 30% жертв вымогателей предпочитают... платить.

Как рассказал Волков, лидером по количеству жертв, выложенных операторами программ-шифровальщиков на DLS, по-прежнему являются США (49,2%). За ними следуют Канада, Франция и Великобритания. А вот среди индустрий явного лидера нет, но среди самых атакуемых — производство (9,6%), недвижимость (9,5%) и транспорт (8,2%). Самой агрессивной группой по числу выкладываемых на DLS-сайты данных является Conti — на ее счету 361 компания-жертва. Хотя в прошлом году лидерами были Maze (259) и Egregor (204), которых сейчас в топ-5 группировок не оказалось.

Один из основных факторов успеха шифровальщиков — сотрудничество с брокерами, которые продают вымогателям доступы в сети атакованных компаний. 

Партнеры повсюду

Брокеры первичного доступа — это участники партнерских программ, чаще всего профессиональные пентестеры, которые ищут уязвимости в инфраструктуре компаний, а затем перепродают их операторам шифровальщиков. Как заметил Волков, этот сегмент андеграунда активно растет. За отчетный период специалисты Group-IB обнаружили 229 брокеров, хотя в прошлом году их было 86. «Мы находимся лишь в начале истории. В будущем мы увидим больше брокеров. И конкуренция между ними снизит цену за начальный доступ [в инфраструктуру]», — предупреждает Волков. 

По оценке Group-IB, объем рынка продажи доступов в сети скомпрометированных компаний составляет более $7 млн (ок. 520 млн руб.).

За последние месяцы на продажу было выставлено более 1000 доступов к сетям компаний. А 35% всех доступов было продано пятью основными брокерами. По словам Волкова, атаки по странам совпадают с программами-шифровальщиками, но есть разница в индустриях. Здесь самый популярный сегмент — правительственный сектор. «В дарквебе есть спрос на такие данные», — рассказал Волков. Отдельно Group-IB выделяет финансовый сектор. Здесь количество продавцов доступов к инфраструктуре финансовых организаций выросло с 18 до 47, а число продаваемых доступов выросло на 203% — с 31 до 95.

Интересный момент: большинство брокеров первичного доступа — русскоязычные. Отсюда наименьшее число атак в России и СНГ, так злоумышленники пытаются избежать ареста. Другую любопытную деталь в своем выступлении отметил руководитель группы исследования киберпреступности в Group-IB Дмитрий Шестаков. По его словам, до 2017 года услуги брокеров начального доступа были не столь популярны — хакеры не очень понимали, как на этом можно заработать. До мировых эпидемий шифровальщиков WannaCry, NotPetya и BadRabbit вирусы-шифровальщики атаковали в основном физических лиц. И только после 2017-го операторы шифровальщиков в качестве целей выбрали крупный и средний бизнес, началась охота на крупную дичь — Big Game Hunting. 

Одним из тех, кто вывел продажу доступов в инфраструктуру компаний на новый уровень, был хакер Fxmsp. По словам Шестакова, именно он стал продавать доступы на регулярной основе. «Он понял, что его целевая аудитория — группировки хакеров-вымогателей. И он как хороший рекламщик выкладывал именно ту информацию, которая могла заинтересовать их», — рассказывает Шестаков. Хакер Fxmsp смог получить доступ к 135 компаниям в 44 странах, а его заработок оценивают в $1,5 млн (ок. 111,4 млн руб.). Правда, в 2019-м он прекратил публичную активность, но его так и не поймали.

Новая жизнь старой угрозы

Фишинговые ресурсы, с помощью которых злоумышленники пытаются украсть деньги или конфиденциальную информацию, — чаще всего данные банковских карт, хотя и являются одной из старейших киберугроз, до сих пор актуальны. Дополнительный толчок развитию фишинга, как рассказывает Волков, дала пандемия, из-за которой люди стали намного чаще совершать интернет-покупки. В сети появляются клоны популярных маркетплейсов, сервисов доставки или платежных систем, которые подменяют данные о реальном торговце, тем самым обманывая банки и забирая деньги покупателей себе. По словам Волкова, ежедневно Group-IB фиксирует в России около 1400 фальшивых трансакций.

По оценкам экспертов Group-IB, существует около 70 фишинговых и мошеннических партнерских программ. 

«Злоумышленники, занимающиеся фишингом, адаптируются. Они меняют стратегию и тактику в зависимости от ситуации. Из-за пандемии очень много людей пользуются онлайн-покупками, отсюда рост фишинговых угроз», — признает Хорхе Розаль Косано, руководитель отдела AP Terminal, Европейского центра по борьбе с киберпреступностью, Европол. Он обращает внимание и на еще один вид фишинга — мошенничество в инвестиционной сфере. По его словам, появилось очень много фейковых сайтов, нацеленных на владельцев криптовалют.

Драйвером роста этого рынка тоже являются партнерские программы. Как рассказывает Волков, аналитики Group-IB обнаружили около 70 партнерских программ по фишингу, которые активно ищут партнеров. При этом за год они создали около 2000 сообщений о поиске партнеров на форумах. А 40 самых популярных партнерских программ смогли привлечь около 5000 новых мошенников. «Все это открывает новые возможности для того, чтобы мошенники могли скомпрометировать как можно больше данных», — отмечает Волков.

Управление таким числом партнеров требует автоматизации. По словам CEO Group-IB, такой платформой стал мессенджер Telegram. «Telegram-боты позволяют автоматизировать много рутинных задач — регистрация и инструктаж новых партнеров, уведомления о платежах, сбор скомпрометированной информации и т. д.», — рассказывает Волков. Если год назад Telegram использовали 0,88% партнерок, то теперь его доля 6,6%. «Мы предполагаем, что не только Telegram, но и другие мессенджеры с ботами будут использоваться мошенниками в будущем. Это позволит партнеркам развиваться быстрее, а отслеживать их станет сложнее», — говорит гендиректор Group-IB.

Сменились вкусы

Несмотря на бурный рост программ-шифровальщиков, крупнейшим по объему денег считается сегмент кардинга — воровство данных банковских карт. Но в этом году этот рынок заметно просел — на 26%, с $1,9 млрд (ок. 141 млрд руб.) до $1,4 млрд (ок. 104 млрд руб.). Этот рынок состоит из двух частей — продажи дампов (содержимого магнитных полос карт) и текстовых данных (номер, имя, код CVV). Падение произошло во многом за счет сегмента дампов. Во-первых, был закрыт крупный магазин Joker's Stash, а во-вторых, средняя цена дампа заметно упала — $21,88 до $13,84.

Правда, сегмент текстовых данных банковских карт продолжил расти — на 36%. Там выросла и средняя цена — с $12,78 до $15,2. «Из-за коронавируса увеличилось количество онлайн-покупок. А поскольку онлайн-платформы недостаточно защищены, мошенники могут с помощью JS-снифферов украсть данные банковских карт», — отметил в своем докладе Хорхе Розаль Косано из Европола. По его словам, в рамках полицейской операции Carding Action 2021 Group-IB второй год подряд передает полицейским платежные данные скомпрометированных банковских карт, в итоге удалось предотвратить ущерб банков Европы на €54 млн. 

На этом фоне практически исчезли целевые атаки на финансовые учреждения, хотя еще несколько лет назад это был основной способ для криминальной хакерской группы заработать десятки миллионов долларов. Исключением стали два региона — Россия и Африка. «В России, скорее всего, за атакой стоит известная группа, которая вернулась после долгой паузы, — рассказал сооснователь Group-IB. — В Африке мы обнаружили злоумышленников, которые сфокусированы на местных банках. Эта группировка не сильно развита, но весьма эффективна». 

Не нужно бояться 

Как правоохранительные органы могут повысить эффективность своей борьбы с хакерами? Об этом в своем выступлении подробно говорил Крейг Джонс, директор по расследованию киберпреступлений из Интерпола. Киберпреступность трансгранична — она может атаковать цели из любой точки мира. А вот правоохранительные органы по-прежнему проводят свои расследования исключительно на национальном уровне, локально. «Пока они не делятся информацией и данными с международными партнерами, киберпреступники пользуются этим», — констатирует Джонс. 

Кроме того, многие расследования наталкиваются на межгосударственные и законодательные противоречия, недостаточное техническое развитие разных стран. «Нам нужно доверять друг другу. Не нужно бояться делиться [данными], — убежден Джонс. — В Интерполе наша модель доверия строится на сотрудничестве с государственными и частными партнерами. И частные партнеры могут быть более эффективными: отчеты, которые публикуют частные компании, зачастую лучше тех, что выпускают правоохранительные органы».  

В качестве успешного примера сотрудничества представитель Интерпола привел совместные международные операции с участием Group-IB — Falcon и Lyrebird. В первом случае в конце 2020 года полиция Нигерии совместно с Group-IB ликвидировала преступную группу, которая скомпрометировала около 500 000 государственных и частных компаний из 150 стран мира. 

Во втором — в мае 2021 года в Марокко местной полицией был задержан злоумышленник, известный в сети как DrHeX. Начиная с 2009 года он занимался фишингом, дефейсом сайтов, разработкой вредоносного программного обеспечения, мошенничеством и кражей данных банковских карт. 

А вот третья операция — Cyclone, в ходе которой Интерполу удалось обнаружить и захватить на Украине серверы операторов вируса-шифровальщика Conti, атаковавшего Министерство здравоохранения Ирландии, еще не закончена. Значит, экспертам будет о чем рассказать на следующей конференции CyberСrimeCon 2022. 

---

*На правах рекламы