исследования - Group-IB

реклама
Оглавление
Введение................................................................................................................................ 3
Ключевые выводы.. ............................................................................................................... 5
Снижение ущерба при росте количества атак....................................................................................5
Рост мобильных угроз............................................................................................................................. 6
Переориентация русскоговорящих хакеров на Запад......................................................................6
Развитие хакерской инфраструктуры.................................................................................................7
Активизация целевых атак на крупные финансовые организации..............................................7
Усиление интереса к торговым/брокерским системам...................................................................8
Прогнозы на 2015 Q2 –2016 Q1.............................................................................................. 9
Прогнозы по России и СНГ...................................................................................................................... 9
Прогнозы по Европе и США.................................................................................................................. 10
Оценка рынка высокотехнологичных преступлений. ..........................................................11
Тенденции 2014 Q2 –2015 Q1.................................................................................................12
Мошенничество в интернет-банкинге России.................................................................................. 12
Мошенничество в интернет-банкинге США и Европы....................................................................26
Целевые атаки на банки........................................................................................................................36
Атаки на торговые системы.................................................................................................................42
Трояны под США и Европу....................................................................................................................46
Другие трояны........................................................................................................................................47
АТМ-реверс..............................................................................................................................................48
Атаки на банкоматы ..............................................................................................................................51
«Кард»-шопы...........................................................................................................................................58
Атаки на POS-терминалы......................................................................................................................61
Задержания 2014 Q2 –2015 Q1............................................................................................. 66
Группа PhishEye ......................................................................................................................................66
Автор Android-трояна и совладелец бот-сети Reich........................................................................68
Wap-look (Android-троян).......................................................................................................................71
Ограничения применения ....................................................................................................74
O Group-IB............................................................................................................................. 75
2 / ТЕНДЕНЦИИ РАЗВИТИЯ ПРЕСТУПНОСТИ В ОБЛАСТИ ВЫСОКИХ ТЕХНОЛОГИЙ 2015
Введение
Ежегодно мы выпускаем отчеты о тенденциях развития высокотехнологичных преступлений,
в которых описываем наиболее интересные тренды за прошедший период и делаем прогнозы
на период будущий. Текущий отчет посвящен второй половине 2014 и первой половине 2015
годов.
В прошлом отчете мы предсказывали, что увеличится количество целевых атак на банки.
Этот прогноз оправдался частично. Так, во второй половине прошлого года группа хакеров
Anunak (также известная как Carbanak) произвела ряд атак и хищений на сотни миллионов
рублей, однако после публикации совместного отчета Group-IB и голландской компании Fox-IT,
описывавшего методологию работы группы, приостановила свою деятельность.
Несмотря на это, как мы и предсказывали, появились новые команды хакеров, проводящие
аналогичные атаки, — например, нашумевшую целевую атаку на казанский банк, в результате
которой волатильность рубля на валютном рынке превысила 10 рублей всего за несколько
минут.
Мы также оказались правы, предсказав рост атак на банкоматы. Мы столкнулись не только
с новыми троянами для банкоматов и случаями инсайда, но и с новым оборудованием –
Blackbox, которое хакеры самостоятельно разрабатывали и встраивали в банкоматы, получая
над ними полный контроль.
Исследовав в прошлом году угрозы для мобильных устройств, мы предсказали рост числа
мобильных троянов, позволяющих автоматически переводить деньги с банковских счетов,
обходя самые передовые средства защиты банков. Наш прогноз сбылся, и ввиду темпов
развития данного сегмента мошенничества мы уделили этой теме особое место в нашем
отчете.
Другим важным прогнозом было снижение уровня хищений у физических лиц с помощью
троянов, которые перенаправляют пользователей на фишинговые сайты. Благодаря
задержанию участников наиболее опасной группы, работавшей по такой схеме, удалось
не просто снизить уровень хищений, но полностью прекратить их. Некоторые подробности вы
найдете в разделе о завершенных расследованиях и задержаниях преступников, в которых
наша компания принимала непосредственное участие.
3 / ТЕНДЕНЦИИ РАЗВИТИЯ ПРЕСТУПНОСТИ В ОБЛАСТИ ВЫСОКИХ ТЕХНОЛОГИЙ 2015
Мы также сообщали о росте атак на российские ресурсы со стороны хактивистов и опять
попали в точку. Хакеры, поддерживающие ИГИЛ, совершили более 600 атак, чем привлекли
наше внимание и побудили выпустить отдельный отчет об их деятельности в разных регионах.
Как и во всех предыдущих отчетах, мы сконцентрировали внимание на угрозах, исходящих
от русскоговорящих хакеров. Но в отличии от предыдущих периодов, в текущем отчете
мы дали описание угроз для зарубежных банков и компаний финансового сектора. Мы пришли
к выводу, что, к сожалению, все наиболее опасные банковские бот-сети имеют прямое
отношение к русскоговорящим хакерам.
Акцентируем внимание на значительных расхождениях в трактовке понятия «русские хакеры»
специалистами. Отечественные криминалисты предпочитают использовать этот термин
в отношении злоумышленников — граждан РФ, осуществляющих преступную деятельность
на территории нашей страны. В США и Европе же под словом «русские» традиционно понимают
не только граждан России, но также всех граждан и эмигрантов из стран бывшего СССР, которых
объединяют общие история и язык.
4 / ТЕНДЕНЦИИ РАЗВИТИЯ ПРЕСТУПНОСТИ В ОБЛАСТИ ВЫСОКИХ ТЕХНОЛОГИЙ 2015
Прогнозы на 2015
Q2 –2016 Q1
Прогнозы по России и СНГ
1.
Атаки на клиентов банков – физических лиц с помощью троянов для персональных
компьютеров прекратятся.
2.
Количество инцидентов и суммы похищаемых средств увеличатся за счет перехвата
на Android-устройствах данных банковских карт, логинов и паролей для интернетбанкинга.
3.
Вырастет количество инцидентов с фишингом в отношении клиентов банков
в результате появления новых преступных групп и автоматизации процесса хищения
денежных средств.
4.
У юридических лиц увеличится количество инцидентов с программами,
шифрующими данные для последующего вымогания денег за их расшифровку
(«криптолокерами»).
5.
Эффективность троянов, позволяющих переводить деньги с банковских
счетов посредством подмены реквизитов («автозалива»), для юридических лиц
будет снижена за счет внедрения новых систем защиты крупными банками,
а злоумышленники могут переключить свое внимание на хищения с удаленным
доступом.
6.
Количество инцидентов с POS-терминалами продолжит расти, поскольку количество
программ для этих целей постоянно растет. Часть таких программ находится
в открытом доступе.
7.
Количество целевых атак продолжит расти за счет новых игроков, но их
эффективность в количественном показателе останется невысокой.
5 / ТЕНДЕНЦИИ РАЗВИТИЯ ПРЕСТУПНОСТИ В ОБЛАСТИ ВЫСОКИХ ТЕХНОЛОГИЙ 2015
Q2 2014- Q1 2015 (средний
курс 57 рублей за $1)
Q2 2014- Q1 2015 (в рублях)
Сумма хищений в день (в
рублях)
Средняя сумма одного
хищения (в рублях)
Общее число успешных
атак в день
Число преступных групп
Сегмент рынка в России
и СНГ
Оценка рынка
высокотехнологичных
преступлений
Хищения в интернетбанкинге у юридических
лиц
8
16
480 000
7 680 000
1 912 320 000
$33 549 474
Хищения в интернетбанкинге у физических
лиц
2
2
76 500
153 000
38 097 000
$668 368
Хищения у физических
лиц с Android-троянами
14
70
3 500
245 000
61 005 000
$1 070 263
Целевые атаки на банки
3
-
90 000 000
-
638 000 000
$11 192 982
Обналичивание
похищаемых средств
-
-
-
3 635 100
1 192 239 900
$20 916 489
Оборот «кард»-шопов
7
-
-
-
155 314 854
$2 724 822
11 713 100
3 996 976 754
$70 122 399
Итого
6 / ТЕНДЕНЦИИ РАЗВИТИЯ ПРЕСТУПНОСТИ В ОБЛАСТИ ВЫСОКИХ ТЕХНОЛОГИЙ 2015
O Group-IB
Group-IB – одна из ведущих международных компаний по предотвращению и расследованию
киберпреступлений и мошенничеств с использованием высоких технологий.
Имеет 12-летний опыт в области компьютерной криминалистики, предотвращения
финансовых и репутационных потерь, консалтинга и аудита систем информационной
безопасности, а также является разработчиком инновационных программных продуктов BotTrek по мониторингу, обнаружению и предотвращению возникающих киберугроз.
Миссия Group-IB: защищать наших клиентов в киберпространстве, создавая и используя
инновационные продукты, решения и сервисы.
Команда Group-IB – это эксперты, обладающие уникальной квалификацией, c большим
практическим опытом, подтвержденным международными сертификатами SSCP, CISSP,
CISA, CISM, CEH, CWSP, GCFA и свидетельствами государственного образца в области защиты
информации.
Group-IB обладает крупнейшей в Восточной Европе лабораторией компьютерной
криминалистики, которая производит экспертизы и исследования в 80% всех резонансных дел
в области высокотехнологичных преступлений.
На базе компании Group-IB создано первое в Восточной Европе круглосуточное подразделение
реагирования на инциденты информационной безопасности — CERT-GIB. Подразделение
обладает статусом компетентной организации по борьбе с фишингом, вредоносным
программным обеспечением и бот-сетями в доменных зонах .RU, .РФ, .SU
Клиентами Group-IB являются крупнейшие российские и зарубежные банки и финансовокредитные организации, представители легкой и тяжелой промышленности, предприятия
энергетической и нефтеперерабатывающей отрасли, производители программного
обеспечения, телекоммуникационные операторы связи РФ и зарубежных государств:
Австралия, Аргентина, Бразилия, Великобритания, страны ЕС, Канада, США, Эквадор.
7 / ТЕНДЕНЦИИ РАЗВИТИЯ ПРЕСТУПНОСТИ В ОБЛАСТИ ВЫСОКИХ ТЕХНОЛОГИЙ 2015
Полную версию отчета можно скачать на сайте
http://report2015.group-ib.ru
+7 (495) 984-33-64
www.group-ib.ru
info@group-ib.ru
facebook.com/groupib
youtube.com/groupib
twitter.com/groupib
linkedin/company/group-ib
Скачать