Все новости

Group-IB: активность хакерских атак на банки через SWIFT за год утроилась

Также эксперты отметили потенциал угрозы от уязвимости микропроцессоров вендеров и снижение популярности троянов для хищения банковских данных в России

МОСКВА, 9 октября. /ТАСС/. Число целевых атак на банки по всему миру через систему межбанковских переводов SWIFT утроилась, глобальной угрозой ближайших лет станет уязвимость микропроцессоров вендоров и кибератаки по сторонним каналам, а смартфоны россиян стали реже подвергаться заражению Android-троянами. Об этом свидетельствует отчет компании в сфере расследования и предотвращения киберпреступлений Group-IB "The Hi-Tech Crime Trends 2018".

"По оценкам Group-IB, количество целенаправленных атак на банки с целью хищения через SWIFT за отчетный период увеличилось в три раза. Если за прошлый период было зафиксировано всего три подобных атаки: в Гонконге, на Украине и в Турции, то в этом - прошло уже девять успешных атак в Непале, Тайване, России, Мексике, Индии, Болгарии и Чили", - говорится в отчете, который был представлен на конференции CyberCrimeCon 2018.

При этом эксперты отметили, что в случае с атаками через SWIFT большую часть несанкционированных транзакций удается вовремя остановить и вернуть деньги пострадавшим банкам.

Как отметили эксперты Group-IB, для системы SWIFT представляют угрозу только две преступные группы - Lazarus и Cobalt. Хакеры Cobalt организовали первую атаку через SWIFT в истории российской банковской индустрии - она произошла в декабре 2017 года в одном из российских банков. Лидер Cobalt был арестован в Испании в марте этого года, однако, несмотря на это, группа сохранила активность, отмечают в Group-IB. По данным экспертов, хакеры Cobalt с периодичностью два - три раза в месяц атакуют финансовые организации в России и за рубежом.

"По прогнозам Group-IB, аресты лидеров Cobalt, Fin7 (Anunak) приведут к тому, что оставшиеся члены этих групп начнут формировать новые. Среди других наиболее вероятных регионов возникновения новых киберпреступных организаций - Латинская Америка, а также азиатские страны. Скорее всего, их первыми целями будут банки", - отмечают в Group-IB.

Уязвимость микропроцессов

По прогнозу Group-IB, новыми источниками глобальной угрозы информационной безопасности в ближайшие годы могут стать уязвимости микропроцессоров вендоров и кибератаки по сторонним каналам. 

Впервые о массовой уязвимости микропроцессоров продукции Intel, которые потенциально могли привести к хищению конфиденциальных данных пользователей, стало известно в начале 2018 года. Речь шла о двух уязвимостях: одна из них (под названием Meltdown) затрагивала процессоры Intel, выпущенные после 1995 года, другая (Spectre) касалась не только продукции Intel, но и чипов производства компаний AMD и ARM. Чтобы устранить потенциальный риск, производителям программного обеспечения (ПО), в том числе Microsoft, пришлось выпустить обновления своих продуктов. IBM, в свою очередь, решила проблему уязвимости микропроцессоров в середине февраля.

Атаки по сторонним каналам (side-channel атаки) представляют собой кибератаки на криптографические алгоритмы через вспомогательные системы, которые участвуют в шифровании ПО. Эксперты компании указывают, что подобные уязвимости невозможно быстро и эффективно устранить посредством обновления ПО. В то же время в Group-IB отмечают, что, несмотря на высокую исследовательскую активность в этой области, пока на рынке не представлено решение, которое могло бы выявить потенциальную угрозу.

"Во-первых, заражение оборудования через существующую уязвимость сложно детектировать, во-вторых, эту проблему сложно устранить. Комбинация side-channel атаки с аппаратной уязвимостью, которая позволяет выполнять множество действий в операционной системе, открывает новые возможности заражать устройства незаметно. Если устройство скомпрометировано таким образом, то переустановка операционной системы или даже выброс жесткого диска не решит проблему", - считает технический директор Group-IB Дмитрий Волков.

Трояны в России уже не в моде

Кроме того, "за прошедший год эксперты Group-IB отмечают спад в России эпидемии заражения смартфонов Android-троянами после нескольких лет бурного роста. Количество проводимых ежедневных хищений с помощью Android-троянов в России снизилось почти в три раза, а средний размер хищений снизился с 11 тыс. рублей до 7 тыс. рублей".

По данным экспертов Group-IB, новые Android-трояны, выставленные на продажу или в аренду на хакерских форумах, ориентированы прежде всего на использование за пределами России. "Исключение составляет вредоносная программа "Банки на ладони". Троян был замаскирован под финансовое приложение, выполняющего роль "агрегатора" систем мобильного банкинга ведущих банков страны. Троян похищал у пользователей от 100 тыс. рублей до 500 тыс. рублей в день", - уточняется в отчете. В марте 2018 года злоумышленник, использовавший этот троян, был задержан полицией при содействии Group-IB, уточняется в отчете.

Эксперты также считают, что среди причин снижения ущерба среди клиентов финансовых организаций - переход банков и платежных систем на технологии раннего обнаружения фрода с алгоритмами поведенческого анализа. Это позволяет детектировать атаки, использующие социальную инженерию, фишинг, бот-сети, захват учетной записи, сети нелегального обналичивания денег и другие виды банковского мошенничества на всех устройствах и платформах клиента, пояснили в Group-IB.

Также, как отмечают экспертвы, в России не осталось ни одной хакерской группы, которая бы использовала для хищения денег у физлиц банковские трояны для персональных компьютеров. Group-IB отмечает, что снижение угроз со стороны банковских троянов для ПК в России продолжается с 2012 года.

"В настоящее время только три преступные группы - Buhtrap2, RTM, Toplel - похищают деньги со счетов юридических лиц в России. Эксперты Group-IB обратили внимание на изменение во второй половине 2017 года тактики атакующих: вектором распространения троянов стала не традиционная вредоносная рассылка и не взломанные популярные сайты, а создание новых тематических ресурсов для бухгалтеров, генеральных директоров, использующих в своей работе системы дистанционного банковского обслуживания, платежные системы или криптокошельки. На фейковых ресурсах злоумышленники размещали код, предназначенный для загрузки троянов Buhtrap и RTM", - говорится в отчете. По данным экспертов, ущерб для юрлиц в России по итогам периода с середины 2017 года по середину 2018 года сократился на 12% по сравнению с аналогичным периодом предыдущих лет и составил 547,8 млн рублей.

В то же время на мировой арене появилось шесть новых банковских троянов для персональных компьютеров, уточнили в Group-IB. При этом исходные коды еще 5 троянов были выложены либо проданы, добавили эксперты.

Хакеры стали намного активнее использовать для совершения преступлений web-фишинг, то есть создавать поддельные сайты банков, платежных систем, телеком-операторов, интернет-магазинов и известных брендов, сообщили эксперты. По данным Group-IB, в России злоумышленники с помощью web-фишинга похитили за год 251 млн рублей (на 6% больше, чем за аналогичный период годом ранее), общее количество ежедневных успешных фишинговых атак выросло с 950 до 1274, а средняя сумма одного хищения с помощью фишинга составляет около 1 тыс. руб. При этом, по оценкам Group-IB, количество хакерских групп, которые создают фишинговые сайты под российские бренды, за год выросло с 15 до 26.

В компании отметили, что наибольший объем финансового фишинга приходится на компании в США. "Их доля составляет 80% всех финансовых фишинговых сайтов. Второе место занимаем Франция, затем Германия", - резюмировали эксперты.

По мнению главы Group-IB Ильи Сачкова, для победы над киберпреступностью нужно синхронизировать законодательство на уровне государств, совершить удар по экономической базе и каналам финансирования злоумышленников, а также ввести мораторий на разработку и продажу цифрового оружия, которое может оказаться в руках у киберпреступников. "Кибербезопасность должна стать приоритетом парадигмой для граждан, бизнеса и государств. Считается, что противодействие киберугрозам - типичное соревнование брони и снаряда. Именно поэтому сейчас изменилась сама парадигма защиты: главная идея - быть на несколько шагов впереди киберпреступников и не допустить преступления вообще", - резюмировал он.