Хакеры за год похитили в России 5,5 млрд руб.
Как растет ущерб от киберпреступников
Объем похищенного хакерами с июля 2015 года по июнь 2016 года достиг 5,53 млрд руб., говорится в новом исследовании тенденций высокотехнологичной преступности Group-IB.
Основная часть средств (45%) была похищена через целевые атаки на банки. Хакеры атаковали банкоматы и инфраструктуру, имеющую отношение к взаиморасчетам банка с Центробанком, при этом им доставались средства, которые находятся в распоряжении самого банка, а не на счетах клиентов, уточнил представитель Group-IB. Годом ранее основная часть хищений приходилась на клиентов банков — не физические, а юридические лица: злоумышленники взламывали их кабинеты в системах интернет-банкинга.
Это выраженный тренд: в России атаки на банки начали распространяться еще с 2013 года, а в мире — только в последнее время. «Наиболее профессиональные преступные группы, атаковавшие компании, переориентируются на банки, а преступные группы, получившие опыт целевых атак в России, выходят в другие страны», — считают авторы исследования.
Как объяснил менеджер по развитию бизнеса Group-IB Виктор Ивановский, переориентация киберпреступников связана с тем, что хотя бы одно успешное ограбление банка приносит гораздо больше средств, чем ограбление юрлиц, не говоря уже о частных клиентах. «Киберпреступления — это в первую очередь способ заработать, а не дух авантюризма», — отметил он.
В феврале этого года хакеры пытались похитить 667 млн руб. у Металлинвестбанка. Средства списывались с коррсчета в ЦБ и переводились на счета частных лиц в других российских банках. Атака была частично пресечена. Банк оценил размер потерь в 200 млн руб. Позже в июне МВД и ФСБ задержали группу из 50 хакеров, которые использовали вирус Lurk для атаки на финансовые учреждения. Всего злоумышленники похитили 1,7 млрд руб. Помимо Металлинвестбанка жертвами хакеров также стали Русский международный банк, «Метрополь» и «Регнум», сообщали источники ТАСС.
Олимпийское киберпреступление
Банковский «троян» Panda Banker в июле—августе атаковал десять крупнейших банков олимпийского Рио-де-Жанейро, по данным IBM X-Force Research. Вирус крал конфиденциальную информацию клиентов банков, биткоин-платформ, платежных карт и сервисов. Мишенью вредоносной программы стали служба доставки одной из бразильских сетей супермаркетов, сайт местных правоохранителей, программа лояльности компании e-commerce.
Почти треть (31%) рынка киберпреступлений приходится на обналичивание похищаемых средств. «Мы мониторим порядка 300 хакерских площадок. Обсуждаемые на них вопросы связаны как с реализацией тех или иных атак, так и с последующим выводом полученных денег. С помощью мониторинга мы получаем информацию о размере этого сегмента», — объяснил Виктор Ивановский. Он уточнил, что это могут быть не только средства, полученные в результате высокотехнологичных преступлений, но и средства тех, кто проводит обналичивание у киберпреступников за определенную комиссию.
Несмотря на то что теперь хакеры проявляют больший интерес к хищениям у банков, а интенсивность атак на интернет-банкинг юрлиц и физлиц снижается, эти показатели по-прежнему остаются ощутимыми. «Именно русскоязычные специалисты подогревают рынок троянов для ПК, использующихся для атак по всему миру, — пишут аналитики Group-IB. — 16 из 19 троянов для ПК, наиболее активно использующихся для хищений по всему миру, связаны с русскоязычными преступниками».Трояны представляют из себя программы с дополнительными закладками, которые пользователь может установить себе на компьютер неосознанно, например открыв вредоносную ссылку в электронном письме. Трояны могут как похищать денежные средства, так и, например, зашифровать данные пользователя и требовать выкуп за дешифровку, рассказал Виктор Ивановский.
Взрывной мобильный рост
Значительную сумму киберпреступники добыли, воспользовавшись уязвимостями операционной системы Android. «Развитие функциональности троянов для Android и их доступность стимулируют взрывной рост числа успешных атак. В России ежедневно жертвами становятся 350 пользователей устройств на этой платформе, а объем хищений вырос более чем на 450%», — отмечается в исследовании. По сравнению с июлем 2014-го — июнем 2015 года в отчетный период число преступных групп, нацеленных на подобные атаки, снизилось с 14 до 11. Но выросло количество успешных атак в день (с 70 до 350 штук) и средняя сумма похищения на одного пользователя. Если раньше речь шла о сумме в 3,5 тыс. руб., то теперь — 4 тыс. руб.
По словам Виктора Ивановского, сценарий хищения на мобильном устройстве такой: пользователь скачивает и устанавливает мобильное приложение из непроверенного источника. Приложение может содержать вредоносную программу с закладками, которые перехватывают СМС, иногда интерфейс личного кабинета клиента банка. Таким образом данные клиента перехватываются и используются для хищения средств с его банковского счета. Может производиться подмена данных при денежных переводах.
Android — наиболее популярная операционная система на мобильных устройствах, поставляемых в Россию. По данным IDC, в 2015 году в страну отгрузили 23,3 млн устройств Android и 12,9 млн устройств на iOS, в первом полугодии этого года — 10,3 млн и 1,2 млн устройств соответственно. Однако под угрозой не только пользователи гаджетов на Android. Не имея возможности заразить программой-шифровальщиком iOS-устройства, преступники блокируют продукцию Apple посредством перехвата доступа к облачному хранилищу iCloud.
В ожидании активности
Group-IB прогнозирует, что темпы роста объема хищений будут трехзначными по всему миру, поскольку заражения вредоносным ПО становятся все незаметнее, а хищения автоматизируются. Вредоносные программы активно мимикрируют под популярные приложения (например, они распространялись под видом Pokemon Gо). В компании ожидают прирост инцидентов с участием русскоязычных хакеров, которые, «получив успешный опыт в атаках на банки России и Украины, будут уходить в другие регионы мира». «Будут появляться новые инструменты и сервисы для целевых атак. Хакеры начнут уделять больше внимания поиску инсайдеров для предоставления нужной информации и первичного заражения. Средний размер ущерба одной успешной атаки увеличится», — перечисляют в Group-IB. В то же время трояны для компьютеров постепенно будут уступать свои позиции Android-троянам. Количество и объем успешных хищений с помощью последних будут динамично расти, прогнозируют авторы исследования.
Другие участники рынка в целом согласны с выводами Group-IB, хотя данные исследователей существенно разнятся. «Доля утечек конфиденциальной информации, которые совершаются умышленно, с каждым годом растет», — отметила руководитель направления консалтинга разработчика решений по информационной безопасности ГК InfoWatch Мария Воронова. По данным этой компании, наиболее привлекательными для злоумышленников в первом полугодии 2016 года стали компании сферы торговли, финансового и банковского секторов. В них доля умышленных утечек персональных данных, потребовавших взлома систем информационной безопасности, составила 70% и более. Однако, по мнению Марии Вороновой, направления атак постоянно меняются — если в начале 2016 года атаки на корреспондентские счета совершались довольно часто, то сейчас эта тенденция практически сошла на нет, но растет количество атак на платежные системы.
В «Лаборатории Касперского» не согласились с выводом об интересе киберпреступников к банковскому сектору. По словам руководителя отдела расследований компьютерных инцидентов «Лаборатории Касперского» Руслана Стоянова, это было актуально до ареста группы Lurk в середине года. «С мая этого года нам не известно ни о каком ущербе, который бы понесла банковская система России. Редкие попытки кибератак происходят, но они успешно предотвращаются», — рассказал Руслан Стоянов. В то же время он отметил, что с 2012 по 2015 год правоохранительные органы разных стран арестовали более 160 русскоговорящих киберпреступников. Совокупный ущерб от их деятельности превышает $790 млн, по оценке «Лаборатории Касперского». Речь идет о подтвержденном ущербе — реальная цифра может быть значительно больше.
Руслан Стоянов указывает, что в прошлом году наблюдался рост атак класса АРТ (сложные целевые атаки, в частности кампании кибершпионажа). Теперь они направлены не только на военные, правительственные, научно-исследовательские и критически важные инфраструктурные организации, но и на компании, работающие в финансовом секторе. Как и в случае с кибершпионажем, преступники тщательно готовятся к каждой операции: исследуют интересы потенциальных жертв, выявляют и намеренно заражают сайты, которые чаще всего посещают сотрудники компании, анализируют список контактов и поставщиков атакуемой организации. Начинает развиваться сфера промышленного шпионажа и «конкурентной разведки», когда основной целью преступников становятся не деньги компании, а ценная информация: контракты, деловая переписка и т.п. Каждая четвертая компания (23%) в России считает, что уже становилась жертвой целевых атак.
По данным «Лаборатории Касперского», средний ущерб от одного инцидента информационной безопасности для крупных российских компаний составляет 11 млн руб., а для среднего и малого бизнеса — 1,6 млн руб. «С весны 2015-го по весну 2016 года жертвой того или иного киберинцидента стала практически каждая российская организация. Более половины пострадали от неправомерного использования IT-ресурсов сотрудниками либо проникновения в корпоративные сети вредоносного ПО, что привело к снижению производительности бизнеса», — указал Руслан Стоянов. В «Лаборатории Касперского» согласны с данными Group-IB о росте атак на мобильные устройства: именно в 2016 году количество атак на них, отметил Стоянов, впервые превысило количество атак на компьютеры в России.