Hi-Tech Crime Trends - RUNET-IDfiles.runet-id.com/2018/csf/presentations/6feb.csf18--sachkov.pdf ·...
Transcript of Hi-Tech Crime Trends - RUNET-IDfiles.runet-id.com/2018/csf/presentations/6feb.csf18--sachkov.pdf ·...
Hi-Tech Crime Trends
Неожиданный спад уровня насилия
Процент смертности во время военных действий среди мужского населения
Среднее количество погибших во время одного военного конфликта, 1950-2005
Жертвы террористических атак в Западной Европе
1 физическое ограбление
совершается в странах ЕС
10+
новых видов вредоносов появляется
2 920
записей банковских данных украдено 2014 Breach Level IndexЕвропол, 2014
5 ограблений
совершается в СШАФБР, 2014
Каждые полторы минуты…
28человек становятся жертвами компьютерных
преступниковTransUnion, 2014
Вооруженный грабитель банка с
высокой долей вероятности будет
убит или схвачен – полицией или
«местным гангстером».
Вместо этого, он мог бы купить
вредоносное ПО в сети и с
комфортом красть деньги у сотен
тысяч жертв, не выходя из дома.
Бен Уоллес
Министр по вопросам
безопасности Великобритании
Оценка прямого ущерба от киберпреступности(похищенные денежные средства) (Россия)
6
H2 2016 - H1 2017 H2 2015 - H1 2016 Изменения по отношениюк предыдущему периоду$ 55,440,617 $ 66,862,880
7
ТРЕНД 1Целевые атаки на банки – смена тактики
Интернетбанкинг
ФИНАНСОВАЯ МОТИВАЦИЯ
Платежныешлюзы Банкоматы SWIFT
Карточныйпроцессинг
POS
Некоторые банки были ограблены дважды
8
Хищения
4 февраля 2016 года из ЦБ Бангладеша через SWIFT были отправлены более 30 запросов в Federal Reserve Bank of New Yorkна перевод $951 миллионов на счета в Филиппинах, Шри-Ланке и других азиатских странах.
Equation Group атаковали два SWIFT ServiceBureau, чтобы получить доступ к данным о банковских операциях. Это позволило наблюдать за деятельностью банков Кувейта, Дубаи, Бахрейна, Иордании, Йемена и Катара.
Lazarus успешно атаковали более 20 польских банков, скомпрометировав сайт польского регулятора.
Lazarus атаковали банки Латинской Америки, Юго-Восточной Азии.
Шпионаж
ТРЕНД 2Хакеры, спонсируемые государствами – новая угроза
ТРЕНД 3Диверсии – угроза №1 для финансовой отрасли
9
Мало кто готов к диверсиям.При массовых атаках ущерб может быть колоссальным.
ФИНАНСОВО МОТИВИРОВАННЫЕАТАКУЮЩИЕ
АТАКУЮЩИЕ, СПОНСИРУЕМЫЕГОСУДАРСТВАМИ
PetrWrap
Cobalt
Февраль Март Май Июнь
Уничтожениеследов атаки
Filecoder.NHK
BlackEnergy
WannaCry
Lazarus
NotPetya
BlackEnergy
2017
Точечные атаки,запуск шифрования «руками» с правами администраторов домена
Массовые атаки, наносящие максимальный урон атакуемым компаниям
Узнайте большеgroup-ib.ru/blog
10
Меньше внимания SWIFT
Есть автозалив и под SWIFT, и под АРМ КБР
Единичные случаи успешных атак
Непубличные инциденты
Опыт гос. хакеров
Стейджеры
Разведмодули
Взломы партнеров
Атаки на сотрудников банков
Более совершенные эксплойты и фишинг
Скрытые каналы
HTTPS
DNS
Легитимные инструменты
Безопасность мулов
Связана с карточным процессингом
Обналичивание в другой стране
Бестелесность
Легко обходить антивирусы
Работа только в оперативной памяти
Скрипты на PowerShell, VBS, PHP
Закрепление в системе через:– Windows Management Instrumentation (WMI)– Group Policy Objects (GPOs)– Scheduled task
Карточный процессинг– основная цель
Менее защищен, чем SWIFT
Дешевая схема обнала
Снимается чистый кэш
Обналичивание в другой стране
ТРЕНД 4Целевые атаки на банки – смена тактики
ТРЕНД 5Заскриптованность – автоматизация любых атак
11
Заскриптованные шаги– автоматизация, дающая мощный стимул к развитию средств нападения
ВымогателиWannaCry, NotPetya,Uiwix, EternalRocks
Банковские трояныRamnit, Emotet,Trickbot, Qbot
МайнерыAdylkuzz
NotPetya3 простых шага открывают ящик Пандоры
Запуск Mimikatz
Распространение с помощью штатных средств(WMI and PsEXEC)
Параллельно – попытка запуска EternalBlue
1.2.
3.
ТРЕНД 6Криптоиндустрия – новый стимул для киберпреступников
12
Банковские ПК и Android трояны
перепрофилируются для атак на пользователей криптовалют– TrickBot, Vawtrak, Qadars, Triba, Marcher
– направленный на клиентов
Средний доход одной группыв месяц – более $1,5 миллионов
– направленный на сотрудниковРезко участились случаи атак
Целевые атаки
Атаки на биржи как киберпреступниками, так и проправительственными хакерами
THE DAO
Эксплуатация уязвимости в смарт-контракте
– $60 миллионов
ParityEtherium кошелек
Эксплуатация уязвимости в коде
– $30 миллионов
BitfinexГонконгская биржа
– $72 миллиона
Blockchain.infoBitcoin кошелек
Перехват домена
BitcurexПольская биржа
– $1,5 миллиона, закрыласьвскоре после инцидента
YapizonЮжнокорейская биржа
– $5,3 миллиона
Июнь Июль Авг. Окт. Нояб. Апр. Июнь
BithumbЮжнокорейскаябиржа
Предположительно, взлом персонального компьютера сотрудника
– ”миллиарды вон”
Classic Ether Wallet
Перехват доменас помощью социальнойинженерии
2016 2017
Фишинг
ТРЕНД 7Android трояны – основная угроза для клиентов банков
Тотальная автоматизация
Либо полностью автоматизированное хищение, либо хищение «одной кнопкой»
Трояны под SMS
банкинг
(только в России)
Трояны
с веб-фейками
(Россия)
Трояны
с веб-фейками (мир)
Agent.SX
Flexnet
Agent.BID
Granzy
Cron
Fakeinst.FB
Opfake.A
Limebot
Honli
Asucub
Agent.BID
ApiMaps
Cron
Tiny.z
Maza-in
Alien-bot
Catelites Android Bot
Instant VBV Grabber
Easy
UfoBot
Rello
Loki
Red Alert
Vasya Bot
ExoBot
Reich
Marcher
Skunk
Abrvall
Xbot
GMbot
Spy.agent.SI
Все новые банковские Android троянысозданы русскоговорящими разработчиками
Схемы хищений
• Хищение через SMS банкинг
• Переводы с карты на карту
• Переводы через интернет-банкинг
• Перехват доступа к мобильному банкингу
• Поддельный мобильный банкинг
• Покупки с помощью Apple Pay
17
ТРЕНД 8Фишинг – самая массовая угроза с минимальным ущербом
80% фишинга приходится на следующие категории
финансовые сервисы
облачные хранилища
почтовые сервисы
3 : 1соотношение количества жертв фишинга к количеству жертв банковских ПК и Android троянов
10 - 15%посетителей финансовых фишинговых сайтов вводят на них свои данные
gmail.com 80%
yahoo.com 6%
yandex.com 5%
hotmail.com 3%
outlook.com 1%
mail.com 1%
aol.com 1%
mail.ru 1%
other 3%
Фишинговые сайтыпо категориям
Адреса для сбора логинов и паролей
18
15
RATAttack
RAT, написанный на Python, использующий защищенный канал мессенджера Telegram
The Shadow Brokers
Выложили множество средств для проведения атак
Mirai
Опубликован исходный код IoT бота и самого мощного ботнета
TinyNuke
Исходный код банковского трояна для ПК выложен в открытом доступе
Maza-in
Исходный код банковского Android трояна выложен автором
ТРЕНД 9Открытый исходный код – мера поддержки киберпреступников
16
Group-IB.ru/Blog
GroupIB
Group-IB
Telegram
Group_IB