Все новости

В Group-IB рассказали об ущербе от атак вирусов-шифровальщиков

Компания оценила ущерб по всему миру во втором полугодии 2019 года - первом полугодии 2020 года в сумму более $1 млрд
Офис Group-IB в Москве AP Photo/Pavel Golovkin
Описание
Офис Group-IB в Москве
© AP Photo/Pavel Golovkin

МОСКВА, 25 ноября. /ТАСС/. Group-IB, международная компания, специализирующаяся на предотвращении кибератак, оценила ущерб от атак вирусов-шифровальщиков по всему миру во втором полугодии 2019 года - первом полугодии 2020 года на сумму более $1 млрд. Об этом сообщила пресс-служба компании.

"Конец 2019 года и весь 2020 год захлестнула новая волна программ-шифровальщиков, большинство вымогателей сфокусировались на атаках компаний коммерческого и государственного секторов. Всего за последний год публично известно о более чем 500 атаках шифровальщиков на компании в более чем 45 странах мира. Нижняя граница суммарного ущерба от действий программ-вымогателей, по оценкам Group-IB, составляет более $1 млрд. Однако реальный ущерб многократно выше: зачастую пострадавшие компании предпочитают замалчивать инцидент, заплатив вымогателям, либо атака не сопровождается публикацией данных из сети жертвы", - сообщили в компании.

Наиболее популярными целями вымогателей были компании из США: на них пришлось около 60% всех известных атак. Доля атак в странах Европы составила около 20%, порядка 10% пришлось на страны Северной и Южной Америки (за исключением США) и Азии (7%). В топ-5 наиболее атакуемых отраслей входят производство (94 жертвы), ретейл (51 жертва), государственные учреждения (39 жертв), здравоохранение (38 жертв), строительство (30 жертв).

Продажа данных

"С конца 2019 года вымогатели взяли на вооружение новую технику: перед шифрованием они копируют всю информацию компании-жертвы на свои серверы с целью дальнейшего шантажа. Если жертва не заплатит выкуп, она не только потеряет данные, но и увидит их в открытом доступе. В июне 2020 года REvil начали проводить аукционы, где в качестве лотов выступали украденные данные", - добавили в Group-IB.

Кроме этого, в компании указали, что объем продаваемых на даркнет-форумах доступов к корпоративным сетям компаний увеличивается ежегодно, однако пик пришелся на 2020 г. "Оценить общий объем рынка продажи доступов в андеграунде достаточно сложно: злоумышленники часто не публикуют цены, а сделки происходят приватно. Однако технологии Group-IB по исследованию таких площадок, в том числе с учетом удаленной и скрытой злоумышленниками информации, позволили оценить общий размер рынка в текущем периоде (второе полугодие 2019 года - первое полугодие 2020 года - прим. ТАСС) в почти $6,2 млн, что в четыре раза больше прошлого периода (второе полугодие 2018 года - первое полугодие 2019 года - прим. ТАСС), когда он составлял $1,6 млн", - сообщила компания.

По данным Group-IB, только за первое полугодие 2020 года хакеры выставили 277 лотов по продаже доступов к взломанным корпоративным сетям компаний. Количество продавцов также выросло до 63, из них 52 начали свою активность в этом году. Для сравнения, в 2019 года всего 50 продавцов выставили на продажу доступы к 130 компаниям - суммарно рост продаж доступов в скомпрометированные сети компаний составил 162% относительно прошлогоднего периода (138 предложений против 362 в текущем).

"Анализируя сегмент продажи доступов, аналитики Group-IB прослеживают географическую и отраслевую корреляции с атаками шифровальщиков: наибольшее количество лотов было выставлено по американским компаниям (27%), а наиболее атакуемой отраслью в 2019 году оставалось производство (10,5%), а 2020 год принес спрос на доступы в государственные организации (10,5%), образовательные учреждения (10,5%) и IT-компании (9%)", - добавили в компании.

Продажа данных банковских карт и фишинг

Объем рынка кардинга (мошенничество с платежными картами) за исследуемый период (второе полугодие 2019 года и первое полугодие 2020 года - прим. ТАСС) вырос на 116% - с $880 млн до $1,9 млрд - по сравнению с прошлым аналогичным периодом (второе полугодие 2018 года - первое полугодие 2019 года - прим. ТАСС). Высокие темпы роста характерны как для текстовых данных (номер, дата истечения, имя держателя, адрес, CVV) и дампов (содержимое магнитных полос карт). Количество предлагаемых к продаже текстовых данных выросло на 133% - с 12,5 до 28,3 млн карт, а дампов на 55% - с 41 млн до 63,7 млн. Средняя цена за текстовые данные банковской карты - $12, дампы - $17. Максимальная цена за текст - 150$, за дамп - 500$.

Основным способом компрометации данных магнитной полосы является заражение компьютеров с подключенными POS-терминалами специальными троянами, собирающими данные из оперативной памяти. За отчетный период была выявлена активность 14 троянов, используемых для этих целей. Основной целью мошенников являются банковские карты, выпущенные банками США: на их долю приходится более 92% всех взломанных карт, затем с большим отрывом идут Индия и Южная Корея. За исследуемый период объем рынка дампов вырос более чем в два раза - с $700 млн до $1,5 млрд.

"Угроза кражи данных банковских карт наиболее актуальна для классического ретейла, имеющего онлайн-канал продаж, для ecommerce-компаний, продающих продукты и услуги через интернет, а также для банков, которые оказываются вовлечены в инцидент, как с точки зрения нивелирования последствий для своих клиентов, так и в части потенциальных мер со стороны регуляторов. Основные схемы получения банковских карт и атакуемые страны (США, Индия, Южная Корея и другие) останутся без изменений. Новым регионом с растущей активностью кардеров может стать Латинская Америка, где уже достаточно сильны сообщество хакеров и опыт использования троянов для этих целей", - добавили в компании.

Веб-фишинг

Group-IB также сообщила, что в анализируемый период было выявлено и заблокировано на 118% больше фишинг-ресурсов, чем ранее. Аналитики объясняют этот рост несколькими причинами, главная из которых - пандемия: веб-фишинг как одна из наиболее простых схем заработка привлекла внимание большой аудитории, лишившейся доходов. Увеличение спроса на покупки через интернет сыграло на руку злоумышленникам, которые быстро подстроились под новую реальность, указали в компании.

"С начала года наблюдается рост продвинутой социальной инженерии, где в фишинговой атаке применяются многоходовые сценарии. В таких набирающих популярность фишинговых схемах жертву предварительно прорабатывают - устанавливают с ней контакт (например, посредством мессенджера), создают вокруг нее атмосферу легитимности действий и только после этого направляют на фишинговую страницу. Трендом этого года стало использование одноразовых ссылок. Пользователь получает уникальную ссылку, которая становится неактивной после первого открытия. Если он перешел по ссылке хотя бы раз, то получить этот же контент повторно для сбора доказательной базы не получится. А без нее процесс блокировки фишингового ресурса значительно усложняется", - объяснили в компании.

В Group-IB отметили, что наибольшее количество фишинга было создано под онлайн-сервисы (39,6%). Сюда входит фишинг для сбора учетных записей Microsoft, Netflix, Amazon, eBay, Valve Steam и т.п. Далее следуют почтовые сервисы (15,6%), финансовые учреждения (15%), облачные хранилища (14,5%), платежные сервисы (6,6%) и новый пункт в списке - букмекерские конторы (2,2%). Практически исчезли фишинг-ресурсы, нацеленные на криптовалютные проекты в силу угасания интереса к ICO-проектам, которые на протяжении 2017-2018 годов были популярны у фишеров.