История двух масштабных кибератак с использованием вирусов-шифровальщиков WannaCry и Petya, заразивших сотни тысяч компьютеров, наглядно показала, насколько уязвим современный цифровой мир. WannaCry беспрепятственно проникал в сети как частных компаний, так и госучреждений: заводов Renault во Франции, железнодорожного оператора Deutsche Bahn в Германии, Национальной службы здравоохранения в Великобритании и ряда госучреждений в России. А Petya за несколько часов заблокировал энергетические, телекоммуникационные и финансовые компании на Украине, зацепил нефтяные компании в России и перекинулся в Индию, Австралию и США.
С чисто технической точки зрения WannaCry — достаточно примитивная вредоносная программа. Одна из причин столь масштабного заражения в том, что злоумышленники использовали шифровальщик в связке с кибероружием EternalBlue, эксплоитом Агентства национальной безопасности (АНБ) США, который 14 апреля выложили в открытый доступ хакеры из группы Shadow Brokers.
И если с WannaCry довольно быстро разобрались, и многие жертвы просто отказались платить выкуп ($300-600 в биткоинах) за восстановление доступа к данным (главный совет здесь – никогда не платите вымогателям и регулярно делайте бэкапы!), то дальнейшее использование кибероружия преступниками представляет серьезную угрозу, и в первую очередь финансовую.
Деньги — главное, что интересует киберпреступников. В эру цифровой экономики большинство преступлений, до 98%, связано с монетизацией — большинство преступников совершают те преступления, которые позволяют им заработать.
Большинство серьезных преступных групп сейчас нацелены на:
Рассмотрим поподробнее эти актуальные киберугрозы.
Ограбить банкомат можно без взлома, скиммера (накладного устройства) или банковской карты. Такой способ называется бесконтактной или логической атакой. Ее суть в том, что киберпреступники получают доступ к сети банка и из нее устанавливают полныи контроль над банкоматами. Удаленно они отправляют команду на выдачу денег. Сообщники взломщиков — “дропы” — забирают деньги и передают их организаторам атаки. Таким образом Cobalt — самая активная и опасная преступная группа — меньше чем за год атаковала банки в двух десятках стран мира. В июле 2016 года Cobalt атаковала тайваньский First Bank — люди в масках одновременно опустошили три десятка банкоматов на $2 млн.
Бесконтактные атаки на банкоматы — лишь одна из разновидностей целенаправленных атак на банки. Кроме управления банкоматами киберпреступники стараются получить доступ к системам межбанковских переводов (SWIFT), платежным шлюзам и карточному процессингу. В феврале 2016 хакеры из северокореиской группа Lazarus попытались похитить из Центрального банка Бангладеш $951 млн через систему международных межбанковских переводов SWIFT, но из-за ошибки в платежном документе им удалось украсть только $81 млн.
Целевые атаки представляют для банков сейчас наибольшую опасность — ущерб финансовых организаций от целевых атак в прошлом году вырос почти на 300%. Одна из атак стоила российскому банку 140 млн руб., а общая сумма хищений выросла, по нашим оценкам, до 2,5 млрд руб.
Первые масштабные хищения в системах дистанционного банковского обслуживания начались в России в 2007 году. Когда суммы хищений стали достигать миллионов долларов, участники группировок, которые занимались “обналичкой”, привлекли внимание оргпреступности — процент за вывод денежных средств мог достигать 50%. В прошлом году средний объем хищений составлял 3,8 млн рублей, ежедневно происходило до 8 успешных атак.
Россия стала мировым тестовым полигоном: 16 из 19 троянов для ПК, активно использовавшихся в дальнейшем для хищений по всему миру, связаны с русскоязычными преступниками. Масштабировать криминальный бизнес помог метод автозалива. Он позволял автоматически и совершенно незаметно для пользователя интернет-банка подменять реквизиты и сумму платежа.
Сейчас объем хищений у компаний с помощью троянов для ПК снижается — наиболее профессиональные преступные группы, на которые приходилась большая часть атак, переориентировались на целевые атаки на банки. Другие — набравшись, опыта, стали искать жертв за пределами России.
Смартфон практически превратился в кошелек: мобильным банкингом, по данным ЦБ, пользовалось 20% взрослого населения России. Именно по этой причине трояны для телефонов и планшетов окончательно вытеснили трояны для компьютеров. Этим воспользовались кибермошенники. В 2015 году появились 10 новых групп, которые похищали деньги с помощью мобильных троянов, а количество инцидентов выросло в три раза! Основной мишенью стали пользователи ОС Android почти 85% смартфонов в мире работает на платформе Android и большинство вирусов пишутся именно под нее. Смартфон, зараженный вредоносной программой, фактически превращается в мобильного шпиона, но главная его задача — украсть деньги. Ликвидированная МВД в прошлом году группировка Cron меньше чем за год установила вирус на 1 млн устройств, а общий ущерб от их действий оценивается как минимум в 50 млн руб.
Программы-вымогатели известны давно: еще в конце 80-х вирус AIDS (PC Cyborg), написанный Джозефом Поппом, скрывал каталоги и шифровал файлы, требуя выплатить около $200 за "продление лицензии". Сначала программы-вымогатели были нацелены только на обычных людей, использующих компьютеры под управлением Windows, но сеичас сама угроза стала серьезной проблемой для бизнеса. Один из самых распространенных вирусов-вымогателей — программа CryptoLocker — начиная с сентября 2013 года заразил более четверти миллиона компьютеров в странах ЕС. В конце прошлого года, интернет-ритейлер одной из европейских стран, оказавшисьжертвой CryptoLocker, был вынужден выплатить выкуп в $10 тыс., а одна из судоходных компаний не пожалела за возврат своих данных $60 тыс.
В 2016 году количество атак шифровальщиков резко увеличилось – по оценкам аналитиков – более, чем в сто раз по сравнению с предыдущим годом. Это — нарастающий тренд, причем под ударом, как мы увидели в случае с WannaCry, оказались совершенно различные компании и организации.
О чем говорят эти примеры? Законы экономики работают и в кибермире: наиболее инновационные решения создаются на свободном конкурентном рынке. Большинство уязвимостей, вирусов и способов доставки используются преступными группами, которые атакуют финансовые институты. Преступность создает цифровое оружие, и этим оружием могут пользоваться как спецслужбы, так и террористы.
Как компании не стать жертвой киберпреступников:
Main (fax): +7(347) 272 47 46
Mobile: +7(919) 155 09 04,
Email: ufa-adv@yandex.ru
Web: www.ufa-advokat.ru
Россия, 450008, город Уфа, улица Кирова, дом 1, офис 126, "Дом Профсоюзов"