Мошенники по приколу: кто они — русские хакеры?

Коронавирус стал оружием преступников: в условиях пандемии резко возросло число компьютерных преступлений, считает основатель компании Group-IB Илья Сачков.

В марте 2020 года, когда компании из-за пандемии коронавируса перешли на удаленку, мы прогнозировали рост числа кибератак на незащищенные устройства и домашние сети сотрудников. К сожалению, наши прогнозы сбылись.

По данным МВД за январь-июнь 2020 года рост IT-преступности составил 91,7% по сравнению с аналогичным периодом прошлого года. Генпрокуратура в период самоизоляции во втором квартале 2020 года зафиксировала 82 500 уголовных дел по мошенничеству, из них две трети (71%) приходятся на телефонное мошенничество или интернет-аферы.

Фото: Pixabay
Фото: Pixabay

По оценкам аналитиков Group-IB, в первую очередь выросло число финансовых преступлений с использованием методов социальной инженерии. Наша система предотвращения сложных киберугроз Threat Detection System весной перехватила сотни опасных писем, замаскированных под рассылки о COVID-19. Фальшивки были написаны и на русском, и на английском языке от имени авторитетных международных организаций (ВОЗ, UNICEF), а также крупных корпораций. Рассылки были направлены в компании и государственные организации России и стран СНГ.

В первой половине 2020 года стало больше атак с использованием шпионского ПО, шифровальщиков, бэкдоров (тайных входов в систему), эксплуатирующих тему коронавируса. Злоумышленники ищут способ проникновения в сеть компаний и для этого адресно атакуют удаленных сотрудников, заражая их бэкдорами, через которые потом получают доступ в корпоративную сеть. Кроме этого, они активно эксплуатируют неверно настроенную инфраструктуру — подключения со слабыми паролями и сервера удаленного доступа.

Новые злодеи

Когда интернет только появился, у злоумышленников мотивы были скорее исследовательские — это были «хакеры в белых шляпах». В начале 2000-х годов нам встречались киберпреступники-интеллектуалы, с которыми было интересно бороться. Это была первая группа злоумышленников. Вторую группу составляли совсем молодые люди, которые начинали свой путь в IT с хулиганства, но со временем поток таких преступлений уменьшился.

Сейчас мошенники в основной своей массе имеют среднее образование, говорят и пишут с ошибками. Многие уже имеют судимость. При этом они совершают компьютерные преступления, используя программы, написанные другими людьми. Зачастую это довольно тривиальные преступления, которые легко расследуются.

Недавно мы обнаружили, что появились преступления, которые, казалось, давно вышли из моды. Пришло новое поколение, которое не помнит историю становления киберпреступности, и которое повторило цикл 1990-х годов. Это подростки 14−16 лет, которым просто по приколу сломать сайт компании, чтобы потом бравировать этим перед одноклассниками. Такие преступления легко выявляются и за них предусмотрено серьезное наказание.

В мире часто говорят про «русских хакеров», но на самом деле это скорее не русские, а русскоговорящие киберпреступники. Многие из них не воруют в России — «Не работают по .ru». Это не имеет отношения к патриотизму, просто опасно воровать там, где живешь. Хакеры знают, что между государствами бывают разногласия, которые мешают вместе противостоять компьютерным преступлениям, и используют эти разногласия.

Преступники собираются в синдикаты

Главная угроза для компаний сегодня исходит не от недалеких подростков, а от организованной преступности. Одиночки стали собираться в организованные группы еще в конце 1990-х, когда в большинстве стран мира начал быстро развиваться интернет-банкинг, у людей появились карточки и смартфоны, и это дало злоумышленникам огромное количество способов монетизации. Преступников интересуют в первую очередь деньги. Классические преступные сообщества, которые занималась рейдерством, отмыванием денег, интегрировалась с кибергруппировками, такими как Carberp, Lurk и другие.

Появилось огромное количество преступных IT-профессий — вирусописатели, кардеры, дидосеры, дропперы, фишеры, заливщики — и несколько сотен новых видов преступлений, которые совершаются с помощью информационных технологий: взломы сетей, хищение денег с кредитных и дебетовых карт, кражи в интернет-банках, создание вирусов-шифровальщиков, саботаж и диверсии, компьютерное пиратство, торговля порно, перехват трафика, кибершпионаж и кибертерроризм.

В наши дни киберпреступность становится глобальной и еще более опасной, чем обычная организованная преступность. Сегодня в мире существуют пять групп, которые представляют реальную угрозу финансовому сектору: Cobalt, Silence, MoneyTaker (Россия), Lazarus (Северная Корея), SilentCards (новая группа из Кении).

Главную угрозу создают вымогатели

Военная наука гласит: чтобы правильно выстроить стратегию защиты, нужно знать, кто твой потенциальный враг. Если не знаешь, от кого защищаешься, то защищаться бесполезно. А сейчас руководители компаний рассуждают о рисках и кибератаках, не зная, кто такой киберпреступник, как он действует, какие инструменты и тактику использует. Поэтому компании строят бесконечные возможные системы защиты, опираясь на неправильные данные.

Например, до 2017 года большинство компаний (да и государств тоже) были уверены, что вирусы-шифровальщики атакуют лишь рядовых пользователей: блокируют доступ ко всем данным на компьютере и вымогают небольшие деньги за разблокировку. Картина мира перевернулась в мае 2017 года — за три дня вирус-шифровальщик WannaCry атаковал 200 000 компьютеров в 150 странах мира.

В 2019 году операторы шифровальщиков значительно усилили свои позиции, выбирая более крупные цели. Средний размер выкупа резко влетел с $8000 в 2018 году до $84 000 в 2019. Именно вымогатели представляют сегодня главную угрозу для корпоративного сектора.

Террористы пока не очень опытны

В последние годы к финансовому мотиву добавился террористический. Задача этих преступников — разрушение критически важной инфраструктуры. Хорошо, что террористы пока не очень опытны и умны, но, к сожалению, со временем они научатся всему. В свою очередь инфраструктура компаний защищена недостаточно. Организации полагали, что инцидентов нет, потому что они все делают правильно. На самом деле их просто никто не атаковал.

Организованные преступные группы бывают похожи на крупные корпорации, у которых есть штаб-квартира, мозговой центр, координирующий работу специалистов разных профилей. Их инфраструктура в техническом плане опережает возможности большинства современных компаний. Они организованы и у них есть чему поучиться в плане быстроты реакции, безопасности, полного Agile. Поэтому к защите информации надо подходить комплексно: нужно понимать, кто может атаковать вашу компанию, и какой должна быть оборона. Кроме того, желательно периодически обновлять свои представления об информационных угрозах: риски могут на самом деле выглядеть не так, как вы их представляете.

Это тоже интересно:

Контент недоступен