Российские киберпреступные стаи летят на Запад
15 октября компания Group-IB представила годовой отчет о тенденциях развития высокотехнологичных преступлений. Согласно выводам аналитиков компании, в этом году российские лидеры киберпреступного рынка совершили радикальный поворот на Запад, переключившись на банки США и Европы.
Тотальная вестернизация…
В своем отчете Group-IB оперирует цифрами за период со II квартала 2014 года по I квартал 2015-го. Основными мишенями киберпреступников остались системы интернет- и мобильного банкинга. Однако в этом году были отмечены две, казалось бы, противоречивых тенденции: многократное снижение ущерба от киберпреступности и не менее резкий рост числа преступных групп.
За отчетный год ущерб от киберпреступлений в России составил 2,649 млрд рублей, сократившись по сравнению с предыдущим отчетным годом в 3,7 раза (с 9,806 млрд). Причем падение равномерно распределено по всем основным направлениям преступного бизнеса – хищениям в интернет-банках юридических и физических лиц, хищениям с помощью Android-троянцев и целевым атакам на банки. При этом специалисты выявили 16 новых преступных групп, чьим основным направлением деятельности являются кражи посредством троянских программ для платформы Android.
Сообразно числу группировок, многократно выросло количество атак. По данным аналитиков компании, количество групп, похищающих деньги у юридических лиц, выросло на 60%, групп, атакующих мобильные Android-устройства, – на 160%, а ежедневное количество хищений у физических лиц – в три раза.
Напрашивается вывод, что эффективность хакеров сильно снизилась. Как оказалось, хакеры уже не те: из шести наиболее заметных киберпреступных групп, правивших бал в прошлом отчетном периоде, три – Shiz, Ranbyus и Infinity – полностью покинули российский рынок. Им на смену пришли шесть новых, а их методы уже лишены изощренности прежних лидеров: новички делают ставку на большое количество простых атак на Android-смартфоны.
Что касается корифеев киберпреступности, без работы они не остались: как выяснили специалисты Group-IB, «пропавшие» группы полностью сосредоточились на западных банках и их клиентах. Соответственно, западный киберпреступный рынок крайне оживился, количество троянцев, рассчитанных на работу против банков США и Европы, начало расти небывалыми темпами.
По мнению руководителя департамента киберразведки Group-IB Дмитрия Волкова, есть две основные причины этого поворота на Запад: девальвация рубля, в результате которой жертвы хакеров стали беднее, и успехи правоохранительных органов в их поимке. Видимо, в свете последних громких арестов видных деятелей киберпреступной отрасли их коллегам показалось слишком опасным орудовать в той стране, где они живут.
Методы кибербандитов уже получили хорошую обкатку в России, в то же время западные банки в массе стали догонять наши по информатизации, наконец-то обзаведясь мобильными приложениями и став более уязвимыми. В итоге топ-12 наиболее популярных (часто встречающихся) банковских троянцев на западном рынке полностью заняли продукты русскоязычных вирусописателей. Весьма сомнительное достижение нашей страны.
…и мобилизация отрасли
Хакерские группы, за активностью которых следит Group-IB, в последний год стали быстро переключаться на мобильные платформы. Так, с рынка ушли две группы, работающие по физическим лицам через интернет-банкинг, и на смену им никто не пришел. В то же время на две ушедшие группы, специализирующиеся на мобильном банкинге, пришлось девять новых.
Статистика по хищениям с помощью троянцев для Android укладывается в общие тенденции по российскому киберпреступному рынку. Количество хищений в день выросло с 25 до 70, но средняя сумма хищения упала с 13 тыс. до 3,5 тыс. рублей. В целом за отчетный период Android-троянцы ограбили своих жертв на 61 млн рублей против 105,8 млн рублей в прошлый период (2013–2014 годы).
Если раньше излюбленным вектором атаки злоумышленников был СМС-банкинг и жертвами становились в основном клиенты крупных банков, теперь под угрозой клиенты любых банков, так как деньги выводятся с помощью получивших распространение сервисов перевода с карты на карту. Заражение смартфона стало самым простым и «прямым» способом дистанционного ограбления.
Игры по-крупному
Еще одной тенденцией последних лет стала активизация целевых атак на крупные финансовые организации. Причем, помимо банков, целями начали становиться финансовые брокеры.
Кампания Anunak, активность которой фиксировалась с января 2013 по февраль 2015 года, имела целью банковские системы, карточный процессинг, платежные шлюзы и банкоматы. Ее жертвами стало более 50 российских банков, пять платежных систем, 16 ретейловых компаний. Стоящие за Anunak хакеры, по оценкам аналитиков, сумели «заработать» около 1 млрд рублей.
Кампания Corkow, «всплывшая» в феврале 2015 года, представляла угрозу для карточного процессинга, заработок – 500 млн рублей. Троянец распространялся широкомасштабно, посредством загрузки на зараженных сайтах и сумел заразить 250 тыс. компьютеров, преимущественно расположенных в России и на Украине. Злоумышленники выбирали из зараженных компьютеров те, которые установлены в банках, и давали им команду на загрузку инструмента удаленного управления системой. После этого оператор вредоносной программы мог выполнять на зараженном компьютере любые операции.
Первая в России успешная атака на брокера засчитана именно за Corkow. Создатели троянца оснастили его модулем для определения наличия в зараженной системе торговых терминалов Quik и Transaq. Несколько месяцев у злоумышленников заняли проникновение в сеть и сбор сведений о системе, а вот непосредственно с ограблением они управились всего за 14 минут.
27 февраля 2015 года оператор троянца заключил семь сделок на валютном рынке: пять на покупку 437 млн долларов США и две на продажу 97 млн долларов США. Не все заявки были исполнены, но в результате было куплено 158 млн долларов и продано 93 млн. Это вызвало кратковременные колебания курса рубля, скакнувшего с 55 до 66 рублей за доллар. Через 14 минут троянец получил команду на удаление своих следов из системы и вывод ее из строя. Ущерб для брокера составил более 300 млн рублей.
В данный момент аналитики Group-IB осведомлены минимум о пяти преступных группах, собирающих данные о торговых системах. Были зафиксированы целевые атаки с помощью фишинговых писем на ФГ «БКС» и форекс-брокера Alpari.
Оптимистичные прогнозы
Прогнозы, касающиеся России и стран СНГ, в этом году чуть более радужные, чем обычно. По мнению аналитиков Group-IB, атаки на физических лиц с помощью троянцев для персональных компьютеров сойдут на нет. А вот Android-устройства уже стали излюбленной игровой площадкой для хакеров, и ситуация продолжит развиваться в этом направлении.
Эффективность троянцев, подменяющих реквизиты денежного перевода, существенно понизится за счет внедрения банками более совершенных средств защиты. Эффективность целевых атак на банки также будет невысокой из-за снижения качества «игроков» отечественного рынка.
Начнет расти число инцидентов с заражением POS-терминалов, так как количество программ, разработанных для этого, постоянно растет. Более того, часть таких программ находится в открытом доступе. А это значит, что практически любой энтузиаст сможет попробовать себя в деле кражи данных платежных карт прямо из торговых точек.
Михаил ДЬЯКОВ,