Илья Сачков

Основатель и генеральный директор Group-IB

специально для ГАРАНТ.РУ

История двух масштабных кибератак с использованием вирусов-шифровальщиков WannaCry и Petya, заразивших сотни тысяч компьютеров, наглядно показала, насколько уязвим современный цифровой мир. WannaCry беспрепятственно проникал в сети как частных компаний, так и госучреждений: заводов Renault во Франции, железнодорожного оператора Deutsche Bahn в Германии, Национальной службы здравоохранения в Великобритании и ряда госучреждений в России. А Petya за несколько часов заблокировал энергетические, телекоммуникационные и финансовые компании на Украине, зацепил нефтяные компании в России и перекинулся в Индию, Австралию и США.

С чисто технической точки зрения WannaCry — достаточно примитивная вредоносная программа. Одна из причин столь масштабного заражения в том, что злоумышленники использовали шифровальщик в связке с кибероружием EternalBlue, эксплоитом Агентства национальной безопасности (АНБ) США, который 14 апреля выложили в открытый доступ хакеры из группы Shadow Brokers.

И если с WannaCry довольно быстро разобрались, и многие жертвы просто отказались платить выкуп ($300-600 в биткоинах) за восстановление доступа к данным (главный совет здесь – никогда не платите вымогателям и регулярно делайте бэкапы!), то дальнейшее использование кибероружия преступниками представляет серьезную угрозу, и в первую очередь финансовую.

Деньги — главное, что интересует киберпреступников. В эру цифровой экономики большинство преступлений, до 98%, связано с монетизацией — большинство преступников совершают те преступления, которые позволяют им заработать.

Большинство серьезных преступных групп сейчас нацелены на:

• целевые атаки на банки, системы банкоматов, платежные шлюзы и карточный процессинг;
• атаки на банкоматные сети;
• хищения в интернет-банкинге у юридических и физических лиц;
• атаки на смартфоны — использование Android-троянов позволяет воровать и вымогать деньги;
• запуск криптолокеров — вирусов-шифровальщиков, которые шифруют данные и требуют выкуп.

Рассмотрим поподробнее эти актуальные киберугрозы.
 

Атаки на банкоматные сети

Ограбить банкомат можно без взлома, скиммера (накладного устройства) или банковской карты. Такой способ называется бесконтактной или логической атакой. Ее суть в том, что киберпреступники получают доступ к сети банка и из нее устанавливают полныи контроль над банкоматами. Удаленно они отправляют команду на выдачу денег. Сообщники взломщиков — “дропы” — забирают деньги и передают их организаторам атаки. Таким образом Cobalt — самая активная и опасная преступная группа — меньше чем за год атаковала банки в двух десятках стран мира. В июле 2016 года Cobalt атаковала тайваньский First Bank — люди в масках одновременно опустошили три десятка банкоматов на $2 млн.
 

Целевые атаки на банки

Бесконтактные атаки на банкоматы — лишь одна из разновидностей целенаправленных атак на банки. Кроме управления банкоматами киберпреступники стараются получить доступ к системам межбанковских переводов (SWIFT), платежным шлюзам и карточному процессингу. В феврале 2016 хакеры из северокореиской группа Lazarus попытались похитить из Центрального банка Бангладеш $951 млн через систему международных межбанковских переводов SWIFT, но из-за ошибки в платежном документе им удалось украсть только $81 млн.

Целевые атаки представляют для банков сейчас наибольшую опасность — ущерб финансовых организаций от целевых атак в прошлом году вырос почти на 300%. Одна из атак стоила российскому банку 140 млн руб., а общая сумма хищений выросла, по нашим оценкам, до 2,5 млрд руб.
 

Атаки на системы банкинга для юрлиц и физлиц

Первые масштабные хищения в системах дистанционного банковского обслуживания начались в России в 2007 году. Когда суммы хищений стали достигать миллионов долларов, участники группировок, которые занимались “обналичкой”, привлекли внимание оргпреступности — процент за вывод денежных средств мог достигать 50%. В прошлом году средний объем хищений составлял 3,8 млн рублей, ежедневно происходило до 8 успешных атак.

Россия стала мировым тестовым полигоном: 16 из 19 троянов для ПК, активно использовавшихся в дальнейшем для хищений по всему миру, связаны с русскоязычными преступниками. Масштабировать криминальный бизнес помог метод автозалива. Он позволял автоматически и совершенно незаметно для пользователя интернет-банка подменять реквизиты и сумму платежа.

Сейчас объем хищений у компаний с помощью троянов для ПК снижается — наиболее профессиональные преступные группы, на которые приходилась большая часть атак, переориентировались на целевые атаки на банки. Другие — набравшись, опыта, стали искать жертв за пределами России.
 

Атаки на смартфоны

Смартфон практически превратился в кошелек: мобильным банкингом, по данным ЦБ, пользовалось 20% взрослого населения России. Именно по этой причине трояны для телефонов и планшетов окончательно вытеснили трояны для компьютеров. Этим воспользовались кибермошенники. В 2015 году появились 10 новых групп, которые похищали деньги с помощью мобильных троянов, а количество инцидентов выросло в три раза! Основной мишенью стали пользователи ОС Android почти 85% смартфонов в мире работает на платформе Android и большинство вирусов пишутся именно под нее. Смартфон, зараженный вредоносной программой, фактически превращается в мобильного шпиона, но главная его задача — украсть деньги. Ликвидированная МВД в прошлом году группировка Cron меньше чем за год установила вирус на 1 млн устройств, а общий ущерб от их действий оценивается как минимум в 50 млн руб.
 

Криптолокеры

Программы-вымогатели известны давно: еще в конце 80-х вирус AIDS (PC Cyborg), написанный Джозефом Поппом, скрывал каталоги и шифровал файлы, требуя выплатить около $200 за "продление лицензии". Сначала программы-вымогатели были нацелены только на обычных людей, использующих компьютеры под управлением Windows, но сеичас сама угроза стала серьезной проблемой для бизнеса. Один из самых распространенных вирусов-вымогателей — программа CryptoLocker — начиная с сентября 2013 года заразил более четверти миллиона компьютеров в странах ЕС. В конце прошлого года, интернет-ритейлер одной из европейских стран, оказавшисьжертвой CryptoLocker, был вынужден выплатить выкуп в $10 тыс., а одна из судоходных компаний не пожалела за возврат своих данных $60 тыс.

В 2016 году количество атак шифровальщиков резко увеличилось – по оценкам аналитиков – более, чем в сто раз по сравнению с предыдущим годом. Это — нарастающий тренд, причем под ударом, как мы увидели в случае с WannaCry, оказались совершенно различные компании и организации.

О чем говорят эти примеры? Законы экономики работают и в кибермире: наиболее инновационные решения создаются на свободном конкурентном рынке. Большинство уязвимостей, вирусов и способов доставки используются преступными группами, которые атакуют финансовые институты. Преступность создает цифровое оружие, и этим оружием могут пользоваться как спецслужбы, так и террористы.

Как компании не стать жертвой киберпреступников:

• Первое, что нужно сделать — создать в компании собственный отдел информационной безопасности. Это может быть эксперт-консультант в штате или авторитетная security-компания на аутсорсинге. Важно, чтобы ваш "киберконсильери" знал, что угрожает именно вам, и как от этих угроз защититься. А если инцидент уже произошел, как "потушить пожар", минимизировать убытки и сохранить цифровые доказательства для расследования.
• Провести тщательную инвентаризацию всей своей IT-инфраструктуры. Особое внимание стоит обратить на: защищенность веб-ресурсов (86% веб-ресурсов содержат как минимум одну критическую уязвимость); сетевую инфраструктуру компании: публичный Wi-Fi с доступом в корпоративные сегменты, облако, в котором хранится доступная для сотрудников информация; незащищенные резервные копии.
• Позаботиться о цифровой гигиене сотрудников. Сотрудник, который используется Wi-Fi в публичных сетях — потенциальная жертва. Внедрите политику "нулевого доверия" и проведите тренинг по информационной безопасности. Пусть сотрудники поймут, насколько опасно заражение компьютера через почтовую рассылку и почему так важно использовать двухфакторную аутентификацию. Это – азы цифровой гигиены, без их понимания невозможно противостоять преступникам.
• Устанавливайте обновления системы и патчи безопасности ВОВРЕМЯ. Если в корпоративной сети остались непропатченные ПК, не позволяйте сотрудникам подключать к сети ноутбуки и флешки, принесенные из дома. Регулярно создавайте резервные копии своих систем.
• Причина успеха многих целевых атак — излишняя вера в то, что стандартные средства защиты, такие как лицензионныи и обновленныи антивирус, последняя версия операционнои системы, использование межсетевых экранов (Firewall) или средств предотвращения утечек (DLP), остановят злоумышленников на одном из этапов развития атаки. Это не так. Расследования инцидентов показывают, что на зараженном компьютере практически всегда была установлена антивирусная защита популярных антивирусных производителеи, а инфраструктура организации достаточно хорошо защищена системами обнаружения вторжении и другими техническими и программными средствами. Конечно, 100% гарантии защиты от целевых атак на банки не существует, но снизить риски и повысить эффективность защиты банков возможно. Лучше всего это позволяет сделать использование Threat Intelligence — системы сбора, мониторинга и анализа информации об актуальных угрозах, преступных группах, их тактике, инструментах.