Специалисты международной компании Group-IB, занимающейся обеспечением кибербезопасности, рассказали о главных «трендах» в среде сетевых мошенников. На долю мошеннических операций приходится 73 % всех киберпреступлений. Предложено решение по выявлению и нейтрализации нежелательных ресурсов.

Источник изображения: itglobal.com

Более половины (56 %) мошеннических операций представляют собой скрытое «принуждение» к добровольным платежам и раскрытию пользователем собственных данных, а ещё 17 % — классический фишинг (кражу данных банковских карт пользователей).

О растущих угрозах Group-IB доложила в ходе онлайн-конференции Digital Risk Summit 2021. По данным компании, выявлено не менее 70 киберпреступных групп, большая часть которых нацелена на жителей России, пользующихся досками объявлений, сервисами бронирования гостиниц, аренды жилья, онлайн-переводов, онлайн-ретейла, поиска попутчиков и другими онлайн-услугами. Всего в соответствующих схемах задействовано порядка 10 000 сайтов. По статистике экспертов, только за один год злоумышленники похитили около 700 миллионов рублей.

Применяются и другие «модели» получения денег и информации. Часто регистрируется «мимикрия» фейковых сайтов под площадки известных брендов — например, ресурсы известных банков, страховых компаний и других узнаваемых брендов насчитывают сотни «двойников».

Рост киберпреступлений, связанных со скамом и фишингом, характерен не только для России — в связи с пандемией значительно увеличился оборот средств в интернете. В прошлом году рост нарушений в России составил 35 %, в Европе — 39 %, на Ближнем Востоке — 27,5 %, а в Азиатско-Тихоокеанском регионе — 88 %.

Group-IB представила технологию Scam Intelligence, лежащую в основе системы Digital Risk Protection (DRP). В компании утверждают, что только за год она помогла предотвратить ущерб для российских компаний на сумму 18,8 миллиарда рублей, а в мире — на 443 миллиона долларов.

Использование DRP позволяет выявлять и классифицировать мошеннические схемы — на данный момент выявлено порядка сотни базовых вариантов и их модификаций. Патентованные разработки помогают не только выявлять всю сеть мошенников и отслеживать её в режиме реального времени, но и блокировать её целиком, не разбрасываясь на блокировку отдельных ресурсов. По данным Group-IB, 85 % нарушений, связанных с любым типом мошенничества, устраняется в досудебном порядке, экономя ресурсы защищаемых организаций.

В 2020 году суммарный ущерб от программ-шифровальщиков, блокирующих доступ к данным и требующих выплаты определённой суммы киберпреступникам для возвращения доступа к ценной информации, превысил планку в один миллиард долларов США. Об этом свидетельствует исследование компании Group-IB.

Источник: Group-IB

По словам экспертов Group-IB, 1 млрд долларов — это нижняя граница суммарного ущерба от действий упомянутого вредоносного ПО в корпоративной среде. «Реальный ущерб многократно выше: зачастую пострадавшие организации предпочитают замалчивать инцидент, заплатив вымогателям, либо атака не сопровождается публикацией данных из сети жертвы», — говорят исследователи.

По данным Group-IB, наиболее популярными целями вирусов-вымогателей были компании из Соединённых Штатов: на них пришлось около 60 % всех известных атак. Доля атак в странах Европы составила примерно 20 процентов. Порядка 10 % пришлось на страны Северной и Южной Америки (за исключением США) и Азии (7 %). Наиболее опасными шифровальщиками являются Maze и REvil — на них приходится более 50 % успешных атак. Во втором эшелоне идут Ryuk, NetWalker, DoppelPaymer.

Особое опасение у экспертов вызывает эволюционное развитие программ-шифровальщиков. Так, в последнее время злоумышленники взяли на вооружение новую технику: перед шифрованием они копируют всю информацию компании-жертвы на свои серверы с целью дальнейшего шантажа. Если жертва не заплатит выкуп, она не только потеряет данные, но и увидит их в открытом доступе. Такая схема действий киберпреступников делает ещё более ощутимой угрозу со стороны данного типа вредоносного ПО.

Подробнее с результатами аналитического исследования Group-IB можно ознакомиться на сайте group-ib.ru.

Компания Group-IB, работающая в сфере информационной безопасности, опубликовала отчёт по итогам собственного расследования, в ходе которого были установлены главные бенефициары пиратских онлайн-кинотеатров и сервисов спортивного стриминга. Специалисты выяснили, что пиратская индустрия активно финансируется онлайн-казино Lucky Partners, Welcome Partners, букмекерской конторой 1xBet и поддерживается хостерами «Многобайт» и «ДДОС-ГВАРД».

В отчёте отмечается, что территориально многие бенефициары пиратского бизнеса находятся на Украине. Они осуществляют финансовые переводы через российские банки и платёжные системы, не кодируя платежи. Лидеры рынка незаконных онлайн-казино и букмекерские конторы спонсируют пиратскую деятельность на всех этапах производства и монетизации нелегального контента. После размещения нелегального контента пиратские сайты выступают в качестве рекламных площадок для онлайн-казино и букмекерских контор, размещая баннеры, промокоды и ссылки для привлечения новой аудитории.

Только букмекерская контора 1xBet за последние пять лет спонсировала 17 студий озвучивания сериалов (около 80 % студий, работающих в русскоязычном сегменте), каждый месяц вкладывая в них до 500 тыс. рублей. По данным Group-IB, с 2015 года 1xBet спонсировала озвучку более 900 фильмов и сериалов, а реклама букмекерской конторы размещалась на 80 % пиратских сайтов в СНГ.

Ещё один сегмент развития интернет-пиратства связан со спортивными стриминговыми трансляциями, главными рекламодателями которых являются 1xBet, Melbet, Parimatch, Linebet и др. Доход организующего трансляцию стримера составляет от 20 до 40 % от суммы проигрыша привлечённого им игрока.

После укрепления позиций на рынках России и СНГ пираты начали расширять свою деятельность на рынки стран с низкой финансовой грамотностью и высокой популярностью пиратского контента, таких как Бразилия, Индия и Таиланд. С 2018 года 1xBet спонсировала более 500 релизов на английском, испанском, португальском, тайском, тамильском и хинди.

В Group-IB отмечают, что последние годы пираты активно используют CDN-сервисы, которые агрегируют нелегальный контент и оптимизируют его доставку до пользователей. В 2020 году CDN-сервисы обеспечивают контентом около 80 % пиратских онлайн-кинотеатров в России и СНГ. На смену крупнейшим CDN-сервисам, которые были ликвидированы в ходе международной операции в прошлом году, пришли новые аналоги, такие как Collaps, HDVB, VideoCDN, Videoframe, Bazon, Ustore и Alloha.  

Исследование Group-IB проводилось с целью привлечь внимание правоохранительных органов и других заинтересованных сторон к проблеме пиратства. Копии отчёта были направлены в российские и международные правоохранительные органы.

Компания Group-IB сообщает о том, что в России впервые за пять лет зафиксировано резкое снижение уровня интернет-пиратства. Объём соответствующего рынка составил $63,5 млн, что на четверть — 27 % — ниже аналогичного показателя 2018 года.

Наблюдающаяся картина объясняется прежде всего ликвидацией «большой тройки» пиратских CDN (Content Delivery Network) — сетей доставки контента, которые снабжали нелегальными материалами до 90 % онлайн-кинотеатров России и СНГ.

Кроме того, резкому сокращению уровня интернет-пиратства в нашей стране способствовали законодательные изменения последних лет и широкое распространение практики досудебных блокировок пиратских ресурсов.

Плюс к этому около года назад, в ноябре 2018-го, был подписан антипиратский меморандум с участием «Яндекса», Mail.Ru, Rambler, «Первого канала», ВГТРК, «СТС Медиа», «Газпром-медиа». Согласно этой директиве поисковики обязаны удалять ссылки на страницы с пиратским контентом из результатов выдачи по поисковым запросам пользователей.

Наконец, нанесён удар по рекламной модели монетизации пиратских ресурсов. Совершенствование алгоритмов поиска и пессимизация страниц со встроенной рекламой всех видов привели к сокращению возможности пиратов для её размещения.

В результате объём рынка интернет-пиратства в нашей стране фактически уменьшился до уровня 2016 года. Как было отмечено выше, в 2019-м он составил $63,5 млн против $62 млн в 2016-м. Для сравнения: в прошлом году этот показатель равнялся $87 млн.

Любопытно, что на этом фоне желание смотреть нелегально распространяемые фильмы и сериалы у россиян несколько выросло. Так, количество запросов в популярных поисковых системах на просмотр бесплатных фильмов и сериалов на пиратских ресурсах уже составило 10,4 млрд ( +0,06 %). 

Большая часть киберпреступлений, совершаемых в отношении клиентов российских банков, происходят из-за подпольных колл-центров, которые находятся на территории тюрем. Об этом в недавнем интервью рассказал генеральный директор компании Group-IB Илья Сачков.

Господин Сачков считает, что для снижения количества киберпреступлений против клиентов финансовых организаций необходимо понимать причину существования преступности, связанной с персональными данными. По словам основателя Group-IB, многие подобные преступления связаны с тем, что в некоторых тюрьмах и колониях существуют подпольные колл-центры, в которых буквально круглосуточно работают люди. Находясь внутри защищённой системы, они имеют возможность совершать звонки, вводить людей в заблуждение и совершать преступления.  

Также было отмечено, что люди продолжают верить злоумышленникам. Не менее важной проблемой является то, что многие люди верят мошенникам, которые звонят по телефону и представляются сотрудниками банка, чтобы выяснить конфиденциальную информацию. Уровень цифровой гигиены в России продолжает оставаться на достаточно низком уровне, особенно это касается крупных городов. Ещё одна важная проблема по мнению господина Сачкова заключается в неспособности банков эффективно бороться с социальной инженерией.

Генеральный директор Group-IB считает, что решение упомянутых проблем попросту лишит смысла преступления в отношении клиентов банковских организаций. По его мнению, количество инцидентов, связанных с атаками на клиентов банков, осталось на прежнем уровне, но в последнее время о них стали чаще писать в СМИ, за счёт чего может сложиться впечатление о том, что таких случаев стало больше.  

Компания Group-IB, работающая в сфере расследований инцидентов информационной безопасности, рассекретила деятельность русскоязычной хакерской группировки MoneyTaker.

Сообщается, что MoneyTaker — это наименее изученная специалистами и практически не освещаемая в прессе команда сетевых злоумышленников. MoneyTaker атакует адвокатские конторы и производителей финансового программного обеспечения.

Группировка за полтора года провела 20 успешных атак на банки и другие юридические организации на территории США, России и Великобритании. В США средний ущерб от одной атаки составляет 500 тысяч долларов. В России средний объём извлечённых группой денежных средств в результате компрометации АРМ КБР (автоматизированное рабочее место клиента Банка России) — 72 млн рублей.

«Первая атака, с которой связана эта группа, была проведена весной 2016 года, когда из банка США были похищены деньги в результате получения доступа к системе карточного процессинга STAR компании FirstData. В августе 2016 года они успешно взломали один из банков в России, где использовали программу для автоматического перевода денег через систему межбанковских переводов Центрального банка России АРМ КБР», — сообщает Group-IB.

Исследуя инфраструктуру атакующих, специалисты Group-IB обнаружили, что участники MoneyTaker всегда стараются похищать внутреннюю документацию по работе с банковскими системами во всех странах: руководства администраторов, внутренние инструкции и регламенты, формы заявок на внесение изменений, журналы транзакций и т. п. Для проведения целенаправленных атак MoneyTaker используют распределённую инфраструктуру, которую сложно отследить.

Более подробно о деятельности группировки можно узнать здесь. 

Компания Group-IB предупреждает о новой волне атак мобильных троянов, замаскированных под приложения ведущих российских банков.

Специалисты зафиксировали массированную атаку на пользователей устройств под управлением операционной системы Android. Анализ показал, что вредоносные программы распространяются не через официальный магазин Google Play, а через рекламные объявления в поисковых системах. Ситуация ухудшается тем, что интенсивность нападений постоянно растёт.

Схема внедрения зловредов на мобильные аппараты россиян сводится к следующему. После ввода в поисковике запроса вида «скачать приложение банка ХХХ» в результатах отображаются ссылки на специально сформированные веб-страницы, через которые распространяются трояны, замаскированные под запрашиваемые банковские приложения.

«Качество приложений-подделок, как по дизайну, так и по механике заражения постоянно растёт, что сбивает с толку многих пользователей, не обращающих внимание на критичные детали: название домена, переадресацию на сторонний ресурс и др.», — говорят специалисты.

После проникновения на смартфон фальшивое банковское приложение запрашивает ряд разрешений, в том числе на чтение и отправку SMS. Далее запрашиваются логин и пароль от личного кабинета и реквизиты платёжной карты. В результате, в руках злоумышленников оказывается персональная информация, необходимая для хищения средств. Причём жертва даже не подозревает об осуществляемых транзакциях, поскольку SMS-уведомления перехватываются трояном. 

Сетевые злоумышленники постепенно переключают внимание с банковского сектора на инфраструктуру криптоиндустрии. Об этом свидетельствуют данные Group-IB, которые приводит сетевое издание «РИА Новости».

«Мы фиксируем рост количества инцидентов, связанных с воровством у пользователей данных криптокошельков с помощью вредоносных программ и вывода денег. Методы идентичны тем, что используются для атак на пользователей банковских приложений», — говорят эксперты.

Бум криптовалют привёл к тому, что сетевые мошенники всё активнее ищут новые способы нажиться на пользователях. Причём это не всегда выражается в непосредственной краже средств. К примеру, мы рассказывали об оригинальной атаке, в ходе которой киберпреступники «воруют» аппаратные ресурсы компьютеров жертв, осуществляя скрытый майнинг. Причём добыча криптовалюты в пользу атакующих производится в браузере, когда пользователь заходит на определённые сайты. Иными словами, установка вредоносного программного обеспечения на компьютер жертвы не производится.

Помимо вредоносных программ, активно используется компрометация адресов электронной почты, а также получение SIM-карты по поддельным документам для восстановления паролей и получения контроля над счётом в криптовалютных сервисах.

Ущерб от действий злоумышленников в сфере криптовалют уже достиг практически $170 млн. «Доход от атак на криптобиржи варьируется от 1,5 до 72 миллионов долларов, в то время как в результате успешной атаки на банк преступники в среднем зарабатывают всего 1,5 миллиона долларов», — отмечается в докладе Group-IB. 

Компания Group-IB, специализирующаяся в сфере расследований инцидентов информационной безопасности, обнародовала результаты очередного исследования рынка компьютерных преступлений в России.

Согласно представленным в отчете сведениям, финансовые показатели отечественного рынка киберпреступности в 2012 году составили 1,9 миллиардов долларов США. Для сравнения: годом ранее оборот мошеннических действий в Рунете был оценен в 2,3 млрд долларов. По мнению экспертов Group-IB, снижение объема рынка киберпреступности в стране обусловлено несколькими причинами, главными из которых являются сокращение хищений из систем онлайн-банкинга, внедрение финансовыми организациями современных защитных решений и проведение правоохранительными органами успешных операций по ликвидации преступных групп.

Особое внимание в опубликованном документе уделяется интернет-мошенничеству и спаму — направлениям, составляющим более половины криминального IT-рынка. В прошлом году российские сетевые аферисты сумели похитить около $615 млн; за ними следуют спамеры, которые заработали $786 млн; внутренний рынок Cybercrime to Cybercrime составил $261 млн; а DDoS — $110 млн.

С полной версией аналитического отчета Group-IB можно ознакомиться на сайте report2013.group-ib.ru. В документе рассматриваются актуальные угрозы информационной безопасности, анализируются тенденции интересов мира киберпреступности, даются статистические оценки упомянутого рынка, приводятся прогнозы относительно его изменения в ближайшее время (2014-2015 гг.).

Компания Group-IB представила отчет по противодействию использованию злоумышленниками доменных имен второго уровня .RU и .РФ в целях фишинга, несанкционированного доступа к информационным системам третьих лиц, распространения вредоносных программ и управления бот-сетями.

В период с января по июнь 2013 года специалистами центра быстрого реагирования на инциденты в сфере информационной безопасности CERT-GIB, созданного на базе компании Group-IB, было выявлено 896 вредоносных площадок, угрожающих безопасности пользователей Рунета. Всего за отчетный период регистраторами по запросу CERT-GIB было снято с делегирования 86% обнаруженных вредоносных доменов.

В опубликованном компанией отчете отмечается, что наибольшая доля обнаруженных доменов-нарушителей пришлась на ресурсы, распространяющие вредоносное программное обеспечение (50%), наименьшая — на ботнет-контроллеры (19%).

Ранее Group-IB было объявлено о получении от Фонда «Сколково» гранта в размере 21 млн рублей на создание глобальной системы противодействия киберкриминалу CyberCop. Разрабатываемое компанией решение представляет собой комплекс инструментов, направленный на выявление и нейтрализацию неправомерных действий в виртуальном пространстве. В его основе лежит технология мониторинга, сбора и анализа данных о способах подготовки и совершения киберпреступлений, выявления закономерностей и выработки алгоритмов превентивных мер, а также механизмов фиксации фактов и следов преступлений в Сети.

Реализация финансируемого Фондом «Сколково» проекта рассчитана на полтора года. Предполагается, что CyberCop позволит правоохранительным органам России и зарубежья бороться с киберкриминалом на самых тяжелых этапах процесса расследования — сборе доказательств, анализе полученной информации и поиске злоумышленников. Благодаря корреляции данных о компьютерных преступлениях, методах их совершения, сведений о причастных лицах, расследование будет вестись на основе полной информации. Как результат, система будет способствовать не только защите информации, но и непосредственному снижению самого уровня киберпреступности.

Специалисты компании Group-IB, оказывающей услуги в сфере информационной безопасности и занимающейся расследованием компьютерных преступлений, сообщили об обнаружении очередной критически опасной дыры в одном из самых популярных средств просмотра и работы с документами формата PDF - Adobe Reader.

Уязвимость теоретически обеспечивает возможность несанкционированного выполнения произвольного программного кода на удаленном компьютере. Для организации атаки злоумышленнику достаточно сформировать специальным образом PDF-файл, содержащий искаженные формы, и переслать его пользователю. Опасности подвержены приложения Adobe Reader десятой и одиннадцатой версий. Дополнительную информацию о найденной дыре можно найти в бюллетене безопасности Group-IB.

Продукты компании Adobe Systems часто попадают под прицел киберпреступников. Согласно последним результатам исследования вирусной активности, проведенного аналитиками "Лаборатории Касперского", на долю Adobe Reader приходится 25% всех хакерских атак, направленных на эксплуатацию брешей в коде программ. Как следствие, PDF-просмотрщик фигурирует на втором месте в TOP 5 уязвимых приложений при работе в Сети.

"Интернет сегодня среда весьма "агрессивная". Зараженным может оказаться практически любой сайт, и в результате посетители, у которых есть уязвимые приложения, становятся жертвами злоумышленников, — комментирует ведущий антивирусный эксперт "Лаборатории Касперского" Юрий Наместников. — Главная цель вирусописателей — это электронные счета или конфиденциальные данные пользователей, которые в конечном счете дают киберпреступникам возможность обналичить деньги. Поэтому злоумышленники используют все имеющиеся в их арсенале методы, чтобы доставить вредоносную программу на компьютер пользователя, и применение эксплойтов в этом случае один из самых популярных способов".

Во избежание неприятностей эксперты по IT-безопасности советуют пользователям следить за обновлением установленных на компьютере программных продуктов и своевременно устанавливать выпускаемые для них разработчиками апдейты.

Материалы по теме:

• Adobe Systems представила обновленное семейство приложений Acrobat XI;
• PHDays 2012: хакеры взломали Apple iOS, Windows XP и FreeBSD;
• В России разработают национальную стратегию кибербезопасности.

Источники:

• group-ib.ru, kaspersky.ru

Координационный центр национального домена сети Интернет и занимающаяся вопросами IT-безопасности российская компания Group-IB заключили соглашение о противодействии киберугрозам в доменах .РФ и .RU.

В рамках соглашения Group-IB будет выявлять случаи фишинга, несанкционированного доступа к информационным системам и распространения вредоносных программ с доменных имен, находящихся в зонах .РФ и .RU. При обнаружении нарушений специалисты компании будут анализировать полученные сведения и передавать их регистраторам для последующего прекращения делегирования таких доменов в соответствии с новыми правилами регистрации доменных имен. Подчеркивается, что поступающая к регистраторам информация будет носить исключительно рекомендательный характер.

Ранее Координационный центр заключил аналогичное соглашение с подразделением Лиги безопасного интернета - фондом "Дружественный Рунет".

Всего в 2011 году представителям администратора национальных доменов поступило более 40 обращений от пользователей с просьбой прекратить делегирование некоторых доменных имен. Все эти жалобы были переданы на рассмотрение регистраторам, так как Координационный центр не обладает полномочиями самостоятельного приостановления делегирования.

Материалы по теме:

• "Лаборатория Касперского" составила портрет типичного российского пользователя Сети;
• Каждый второй компьютер в России подвергается хакерским атакам;
• МВД России предупреждает о новой волне интернет-мошенничества;
• Киберпреступность в России набирает обороты.

Источник:

• кц.рф