Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

03

27 views

Published on

security

Published in: Technology
  • Be the first to comment

  • Be the first to like this

03

  1. 1. Ключевые тенденции высокотехнологичных преступлений Докладчик: Сергей Золотухин Group-IB
  2. 2. ОЦЕНКА РЫНКА (РОССИЯ) H2 2016 - H1 2017 H2 2015 - H1 2016 Изменения по отношению к предыдущему периоду$ 55,440,617 $ 66,862,880
  3. 3. ТРЕНД 1 ДИВЕРСИИ – МАССОВЫЕ АТАКИ НА ИНФРАСТРУКТУРУ При массовых атаках ущерб может быть колоссальным. ФИНАНСОВО МОТИВИРОВАННЫЕ АТАКУЮЩИЕ АТАКУЮЩИЕ, СПОНСИРУЕМЫЕ ГОСУДАРСТВАМИ PetrWrap Cobalt Февраль Март Май Июнь Уничтожение следов атаки Filecoder.NHK BlackEnergy WannaCry Lazarus NotPetya BlackEnergy 2017 Точечные атаки, запуск шифрования «руками» с правами администраторов домена Массовые атаки, наносящие максимальный урон атакуемым компаниям Узнайте больше group-ib.ru/blog
  4. 4. Группа APT 1 кибервойск КНР – несколько тысяч специалистов, размещенных в отдельном 12- этажном здании в центре Шанхая, подключенном к мощнейшим оптоволоконным магистралям. Специализируется на долговременном (от года) присутствии в атакуемых системах, фокусируясь на высокотехнологичных компаниях в сферах IT, энергетики, ВПК, финансов и медиа. КИТАЙ Неизвестные подробности атак Lazarus, главной проправительственной группировки Северной Кореи, в расследовании Group-IB – group- ib.ru/blog/lazarus Самая масштабная кибератака 2017 года – заражение вирусом-шифровальщиком WannaCryptor, произошла в результате попадания в открытый доступ инструментов, используемых Агентством Национальной безопасности США для шпионажа В мае 2016 стало известно, что вариация вируса Stuxnet, с помощью которой Агентство национальной безопасности пыталось сорвать ядерную программу Ирана в 2009-2010 годах, была внедрена в сети объектов ядерной энергетики в Северной Корее. Червь Stuxnet направлен на сбор разведывательной информации и проведение диверсий в АСУ ТП промышленных предприятий и объектов критической инфраструктуры. США СЕВЕРНАЯ КОРЕЯ ТРЕНД 2 ХАКЕРЫ, СПОНСИРУЕМЫЕ ГОСУДАРСТВОМ – НОВАЯ УГРОЗА
  5. 5. 5 Меньше внимания SWIFT Есть автозалив и под SWIFT, и под АРМ КБР Единичные случаи успешных атак Непубличные инциденты Опыт гос. хакеров Стейджеры Разведмодули Взломы партнеров Атаки на сотрудников банков Более совершенные эксплойты и фишинг Скрытые каналы HTTPS DNS Легитимные инструменты Безопасность мулов Связана с карточным процессингом Обналичивание в другой стране Бестелесность Легко обходить антивирусы Работа только в оперативной памяти Скрипты на PowerShell, VBS, PHP Закрепление в системе через: – Windows Management Instrumentation (WMI) – Group Policy Objects (GPOs) – Scheduled task Карточный процессинг – основная цель Менее защищен, чем SWIFT Дешевая схема обнала Снимается чистый кэш Обналичивание в другой стране ТРЕНД 3 ЦЕЛЕВЫЕ АТАКИ НА БАНКИ – СМЕНА ТАКТИКИ
  6. 6. ТРЕНД 4 ANDROID ТРОЯНЫ – ОСНОВНАЯ УГРОЗА ДЛЯ КЛИЕНТОВ БАНКОВ Тотальная автоматизация Либо полностью автоматизированное хищение, либо хищение «одной кнопкой» Трояны под SMS банкинг (только в России) Трояны с веб-фейками (Россия) Трояны с веб-фейками (мир) Agent.SX Flexnet Agent.BID Granzy Cron Fakeinst.FB Opfake.A Limebot Honli Asucub Agent.BID ApiMaps Cron Tiny.z Maza-in Alien-bot Catelites Android Bot Instant VBV Grabber Easy UfoBot Rello Loki Red Alert Vasya Bot ExoBot Reich Marcher Skunk Abrvall Xbot GMbot Spy.agent.SI Все новые банковские Android трояны созданы русскоговорящими разработчиками Схемы хищений •Хищение через SMS банкинг •Переводы с карты на карту •Переводы через интернет-банкинг •Перехват доступа к мобильному банкингу •Поддельный мобильный банкинг •Покупки с помощью Apple Pay 1 7
  7. 7. ТРЕНД 5 КРИПТОИНДУСТРИЯ – НОВЫЙ СТИМУЛ ДЛЯ КИБЕРПРЕСТУПНИКОВ 7 Банковские ПК и Android трояны перепрофилируются для атак на пользователей криптовалют – TrickBot, Vawtrak, Qadars, Triba, Marcher – направленный на клиентов Средний доход одной группы в месяц – более $1,5 миллионов – направленный на сотрудников Резко участились случаи атак Целевые атаки Атаки на биржи как киберпреступниками, так и проправительственными хакерами THE DAO Эксплуатация уязвимости в смарт-контракте – $60 миллионов Parity Etherium кошелек Эксплуатация уязвимости в коде – $30 миллионов Bitfinex Гонконгская биржа – $72 миллиона Blockchain.info Bitcoin кошелек Перехват домена Bitcurex Польская биржа – $1,5 миллиона, закрылась вскоре после инцидента Yapizon Южнокорейская биржа – $5,3 миллиона Июн ь Июл ь Авг. Окт . Нояб . Апр . Июнь Bithumb Южнокорейская биржа Предположительно, взлом персонального компьютера сотрудника – ”миллиарды вон” Classic Ether Wallet Перехват домена с помощью социальной инженерии 2016 2017 Фишинг
  8. 8. ТРЕНД 6 ФИШИНГ – САМАЯ МАССОВАЯ УГРОЗА С МИНИМАЛЬНЫМ УЩЕРБОМ 80% фишинга приходится на следующие категории финансовые сервисы облачные хранилища почтовые сервисы 3 : 1 соотношение количества жертв фишинга к количеству жертв банковских ПК и Android троянов 10 - 15% посетителей финансовых фишинговых сайтов вводят на них свои данные gmail.com 80% yahoo.com 6% yandex.com 5% hotmail.com 3% outlook.com 1% mail.com 1% aol.com 1% mail.ru 1% other 3% Фишинговые сайты по категориям Адреса для сбора логинов и паролей 1 8
  9. 9. ГЛОБАЛЬНЫЕ ТРЕНДЫ КИБЕРПРЕСТУПНОСТИ Активизируется гонка кибервооружений • расширяется штат и технологическая оснащенность правительственных киберармий; • меняются приоритеты: от кибершпионажа к контролю над критическими системами; • активизируется использование уязвимостей программного обеспечения и «закладок» зарубежных аппаратных комплексов. Усиливаются кибертеррористические группировки • набираются опыта киберподразделения террористических организаций; • растет потенциал привлечения опытных хакеров с рынка. Развиваются инструменты для взлома и атаки • Эффективность Ограничение доступа системы (АСУ предприятия) к сети больше не является препятствием для получения контроля над ней • Доступность Отработанные на банках шаблоны атак позволяют проникнуть в корпоративную сеть с помощью легальных и открыто продающихся инструментов • Незаметность Системы для управления IT- инфраструктурой, облегчающие работу администраторам сети, помогают злоумышленникам получать нужную информацию и доступы, не привлекая внимания к своей активности
  10. 10. МОЖЕТ ЛИ АТАКА ОСТАТЬСЯ НЕЗАМЕЧЕННОЙ? 10 В феврале 2015 года группа Corkow получила контроль над биржевым терминалом одного из российских банков и выставила заявки на покупку и продажу валюты на сумму более $500 000 000. В результате курс рубля на биржевых торгах снизился более чем на 15%. Атака длилась 14 минут, а подготовка к ней — 6 месяцев. Подписчики системы Threat Intelligence узнали об интересе Corkow к торговым платформам заранее, а пользователи TDS успешно предотвратили проникновения вируса в свои системы. Полная версия отчета: www.group-ib.ru/brochures/Group- IB-Corkow-Report-RU.pdf Кибератака может продолжаться от нескольких минут до нескольких месяцев. Подписчики системы Threat Intelligence узнали об интересе Corkow к торговым платформам почти за год до атаки
  11. 11. УНИКАЛЬНАЯ ИНФРАСТРУКТУРА СБОРА СВЕДЕНИЙ О КИБЕРУГРОЗАХ Мы создали высокотехнологичную инфраструктуру мониторинга киберугроз в ключевых регионах их происхождения – 90% данных из закрытых источников. Мы мониторим площадки в даркнете, следим за изменениями бот-сетей, извлекая конфигурационные файлы вредоносных программ и информацию об украденных идентификаторах. ОБМЕН ДАННЫМИ • распределенная сеть мониторинга и HoneyNet- ловушек • аналитика бот-сетей • трекеры сетевых атак • мониторинг хакерских форумов и закрытых сетевых сообществ • данные сенсоров TDS • результаты криминалистических экспертиз Лаборатории Group-IB • материалы расследований • мониторинг и анализ вредоносного ПО • база обращений и практика Центра реагирования CERT-GIB • результаты аудита • целевая аналитика Group-IB • команды реагирования CERT • регистраторы и хостинг-провайдеры • производители средств защиты • организации и объединения по противодействию киберугрозам • Europol, Interpol и правоохранительные органы 1 1 15 лет отслеживания активности киберпреступников, сбора и анализа сведений о самых сложных хакерских атак ОПЫТ ЭКСПЕРТОВ ТЕХНОЛОГИЧЕСКАЯ ИНФРАСТРУКТУРА
  12. 12. СИСТЕМА РАННЕГО ПРЕДУПРЕЖДЕНИЯ КИБЕРУГРОЗ 12 Система раннего предупреждения киберугроз Group-IB позволяет оперативно узнавать о новых угрозах и блокировать их появление на ваших рубежах обороны. Она основана на 14-летнем опыте нашей команды, глубоком анализе хакерских кампаний и актуальных разведданных из мира киберпреступности. Время для подготовки к инцидентам - бесценно. 15 лет опыта в сфере компьютерной криминалистики, консалтинга и аудита информ-безопасности
  13. 13. 13 СЕНСОР АНАЛИЗА ТРАФИКА ПОВЕДЕНЧЕСКИЙ АНАЛИЗ ФАЙЛОВ выявляет зараженные узлы, устанавливая их взаимодействия с командными центрами по признакам вредоносной активности, разрабатываемым на основе данных из уникальных источников. детектирует сетевые аномалии, генерируемые вредоносными программами, при помощи алгоритмов машинного обучения. интегрируется с системой поведенческого анализа Polygon для выявления ранее неизвестного вредоносного кода. передает информацию о выявленных инцидентах в SOC Group-IB по безопасному каналу либо в любую внутреннюю корпоративную систему учета событий ИБ. интегрируется с ICAP для анализа https и выявления угроз в зашифрованном трафике TDS Sensor (для сигнатурного и поведенческого анализа) и песочница TDS Polygon (для выявления ранее неизвестного вредоносного кода) взаимодополняют друг друга Polygon получает файлы и объекты для анализа от сенсора анализа трафика Запускает потенциально вредоносные файлы на ферме виртуальных машин в безопасной тестовой среде, настраиваемой и обновляемой исходя из специфики вашего бизнеса и региона Отслеживает поведение вредоносных объектов на самом низком уровне при помощи низкоуровневого системного монитора Выносит вердикт об опасности объекта на основании классификатора, формируемого с помощью технологии Machine Mind Возвращает вердикт о степени вредоносности файла сенсору анализа трафика УПРЕЖДАЮЩЕЕ ВЫЯВЛЕНИЕ СЕТЕВЫХ АТАК
  14. 14. TDS SENSOR: УГРОЗЫ В ТРАФИКЕ
  15. 15. TDS POLYGON: УГРОЗЫ В ФАЙЛАХ
  16. 16. 16 Компетентная организация Координационного центра национального домена сети Интернет Партнер IMPACT — международного партнерства по противодействию киберугрозам Аккредитованный член международных сообществ команд реагирования FIRST и Trusted Introducer CERT-GIB первый в России частный центр круглосуточного реагирования на инциденты информационной безопасности СПЕЦИАЛИСТЫ С УНИКАЛЬНОЙ КВАЛИФИКАЦИЕЙ Глубокое понимание угроз, forensic- компетенции, многолетний опыт и знание лучших международных практик реагирования. ОПЕРАТИВНЫЙ ОТКЛИК СЛУЖБЫ ПОДДЕРЖКИ Большая часть вопросов решается за 10 минут. Удобная тикет-система гарантирует, что ни один вопрос не останется без ответа. ВЫЕЗД МОБИЛЬНОЙ БРИГАДЫ РЕАГИРОВАНИЯ Криминалисты и инженеры могут выехать на место инцидента для полной нейтрализации угрозы и сбора цифровых доказательств. Круглосуточная поддержка специалистов через удобную тикет-систему КРУГЛОСУТОЧНЫЙ МОНИТОРИНГ ПОПЫТОК АТАК
  17. 17. 17 НАДЕЖНЫЙ ПАРТНЕР ДЛЯ ЗАЩИТЫ О нас говорят: Group-IB — одна из ведущих международных компаний по предотвращению и расследованию киберпреступлений и мошенничеств с использованием высоких технологий 1000+ 170 000+ успешных расследований по всему миру, 150 особо сложных уголовных дел инцидентов обработано круглосуточным центром реагирования CERT-GIB Официальный партнер INTERPOL и Еuropol, полицейской службы Евросоюза Рекомендована Организацией по безопасности и сотрудничеству в Европе (ОБСЕ) Threat Intelligence от Group-IB в числе лучших мировых систем мониторинга киберугроз по оценке Forrester и Gartner Одна из 7 самых влиятельных компаний в области кибербезо- пасности по версии Business Insider Лидер российского рынка исследования киберугроз Постоянный член Всемирного экономического форума
  18. 18. facebook.com/group-ib info@group-ib.ruwww.group-ib.ru twitter.com/groupib +7 495 984 33 64group-ib.ru/blog Предотвращаем и расследуем киберпреступления с 2003 года. instagram.com/group_ib t.me/group_ib

×