Hi-Tech Crime Trends

Неожиданный спад уровня насилия

Процент смертности во время военных действий среди мужского населения

Среднее количество погибших во время одного военного конфликта, 1950-2005

Жертвы террористических атак в Западной Европе

1 физическое ограбление

совершается в странах ЕС

10+

новых видов вредоносов появляется

2 920

записей банковских данных украдено 2014 Breach Level IndexЕвропол, 2014

5 ограблений

совершается в СШАФБР, 2014

Каждые полторы минуты…

28человек становятся жертвами компьютерных

преступниковTransUnion, 2014

Вооруженный грабитель банка с

высокой долей вероятности будет

убит или схвачен – полицией или

«местным гангстером».

Вместо этого, он мог бы купить

вредоносное ПО в сети и с

комфортом красть деньги у сотен

тысяч жертв, не выходя из дома.

Бен Уоллес

Министр по вопросам

безопасности Великобритании

Оценка прямого ущерба от киберпреступности(похищенные денежные средства) (Россия)

6

H2 2016 - H1 2017 H2 2015 - H1 2016 Изменения по отношениюк предыдущему периоду$ 55,440,617 $ 66,862,880

7

ТРЕНД 1Целевые атаки на банки – смена тактики

Интернетбанкинг

ФИНАНСОВАЯ МОТИВАЦИЯ

Платежныешлюзы Банкоматы SWIFT

Карточныйпроцессинг

POS

Некоторые банки были ограблены дважды

8

Хищения

4 февраля 2016 года из ЦБ Бангладеша через SWIFT были отправлены более 30 запросов в Federal Reserve Bank of New Yorkна перевод $951 миллионов на счета в Филиппинах, Шри-Ланке и других азиатских странах.

Equation Group атаковали два SWIFT ServiceBureau, чтобы получить доступ к данным о банковских операциях. Это позволило наблюдать за деятельностью банков Кувейта, Дубаи, Бахрейна, Иордании, Йемена и Катара.

Lazarus успешно атаковали более 20 польских банков, скомпрометировав сайт польского регулятора.

Lazarus атаковали банки Латинской Америки, Юго-Восточной Азии.

Шпионаж

ТРЕНД 2Хакеры, спонсируемые государствами – новая угроза

ТРЕНД 3Диверсии – угроза №1 для финансовой отрасли

9

Мало кто готов к диверсиям.При массовых атаках ущерб может быть колоссальным.

ФИНАНСОВО МОТИВИРОВАННЫЕАТАКУЮЩИЕ

АТАКУЮЩИЕ, СПОНСИРУЕМЫЕГОСУДАРСТВАМИ

PetrWrap

Cobalt

Февраль Март Май Июнь

Уничтожениеследов атаки

Filecoder.NHK

BlackEnergy

WannaCry

Lazarus

NotPetya

BlackEnergy

2017

Точечные атаки,запуск шифрования «руками» с правами администраторов домена

Массовые атаки, наносящие максимальный урон атакуемым компаниям

Узнайте большеgroup-ib.ru/blog

10

Меньше внимания SWIFT

Есть автозалив и под SWIFT, и под АРМ КБР

Единичные случаи успешных атак

Непубличные инциденты

Опыт гос. хакеров

Стейджеры

Разведмодули

Взломы партнеров

Атаки на сотрудников банков

Более совершенные эксплойты и фишинг

Скрытые каналы

HTTPS

DNS

Легитимные инструменты

Безопасность мулов

Связана с карточным процессингом

Обналичивание в другой стране

Бестелесность

Легко обходить антивирусы

Работа только в оперативной памяти

Скрипты на PowerShell, VBS, PHP

Закрепление в системе через:– Windows Management Instrumentation (WMI)– Group Policy Objects (GPOs)– Scheduled task

Карточный процессинг– основная цель

Менее защищен, чем SWIFT

Дешевая схема обнала

Снимается чистый кэш

Обналичивание в другой стране

ТРЕНД 4Целевые атаки на банки – смена тактики

ТРЕНД 5Заскриптованность – автоматизация любых атак

11

Заскриптованные шаги– автоматизация, дающая мощный стимул к развитию средств нападения

ВымогателиWannaCry, NotPetya,Uiwix, EternalRocks

Банковские трояныRamnit, Emotet,Trickbot, Qbot

МайнерыAdylkuzz

NotPetya3 простых шага открывают ящик Пандоры

Запуск Mimikatz

Распространение с помощью штатных средств(WMI and PsEXEC)

Параллельно – попытка запуска EternalBlue

1.2.

3.

ТРЕНД 6Криптоиндустрия – новый стимул для киберпреступников

12

Банковские ПК и Android трояны

перепрофилируются для атак на пользователей криптовалют– TrickBot, Vawtrak, Qadars, Triba, Marcher

– направленный на клиентов

Средний доход одной группыв месяц – более $1,5 миллионов

– направленный на сотрудниковРезко участились случаи атак

Целевые атаки

Атаки на биржи как киберпреступниками, так и проправительственными хакерами

THE DAO

Эксплуатация уязвимости в смарт-контракте

– $60 миллионов

ParityEtherium кошелек

Эксплуатация уязвимости в коде

– $30 миллионов

BitfinexГонконгская биржа

– $72 миллиона

Blockchain.infoBitcoin кошелек

Перехват домена

BitcurexПольская биржа

– $1,5 миллиона, закрыласьвскоре после инцидента

YapizonЮжнокорейская биржа

– $5,3 миллиона

Июнь Июль Авг. Окт. Нояб. Апр. Июнь

BithumbЮжнокорейскаябиржа

Предположительно, взлом персонального компьютера сотрудника

– ”миллиарды вон”

Classic Ether Wallet

Перехват доменас помощью социальнойинженерии

2016 2017

Фишинг

ТРЕНД 7Android трояны – основная угроза для клиентов банков

Тотальная автоматизация

Либо полностью автоматизированное хищение, либо хищение «одной кнопкой»

Трояны под SMS

банкинг

(только в России)

Трояны

с веб-фейками

(Россия)

Трояны

с веб-фейками (мир)

Agent.SX

Flexnet

Agent.BID

Granzy

Cron

Fakeinst.FB

Opfake.A

Limebot

Honli

Asucub

Agent.BID

ApiMaps

Cron

Tiny.z

Maza-in

Alien-bot

Catelites Android Bot

Instant VBV Grabber

Easy

UfoBot

Rello

Loki

Red Alert

Vasya Bot

ExoBot

Reich

Marcher

Skunk

Abrvall

Xbot

GMbot

Spy.agent.SI

Все новые банковские Android троянысозданы русскоговорящими разработчиками

Схемы хищений

• Хищение через SMS банкинг

• Переводы с карты на карту

• Переводы через интернет-банкинг

• Перехват доступа к мобильному банкингу

• Поддельный мобильный банкинг

• Покупки с помощью Apple Pay

17

ТРЕНД 8Фишинг – самая массовая угроза с минимальным ущербом

80% фишинга приходится на следующие категории

финансовые сервисы

облачные хранилища

почтовые сервисы

3 : 1соотношение количества жертв фишинга к количеству жертв банковских ПК и Android троянов

10 - 15%посетителей финансовых фишинговых сайтов вводят на них свои данные

gmail.com 80%

yahoo.com 6%

yandex.com 5%

hotmail.com 3%

outlook.com 1%

mail.com 1%

aol.com 1%

mail.ru 1%

other 3%

Фишинговые сайтыпо категориям

Адреса для сбора логинов и паролей

18

15

RATAttack

RAT, написанный на Python, использующий защищенный канал мессенджера Telegram

The Shadow Brokers

Выложили множество средств для проведения атак

Mirai

Опубликован исходный код IoT бота и самого мощного ботнета

TinyNuke

Исходный код банковского трояна для ПК выложен в открытом доступе

Maza-in

Исходный код банковского Android трояна выложен автором

ТРЕНД 9Открытый исходный код – мера поддержки киберпреступников

16

Group-IB.ru/Blog

Twitter

GroupIB

Facebook

Group-IB

Telegram

Group_IB