security

1. Ключевые тенденции
высокотехнологичных
преступлений
Докладчик:
Сергей Золотухин
Group-IB

2. ОЦЕНКА РЫНКА (РОССИЯ)
H2 2016 - H1 2017 H2 2015 - H1 2016 Изменения по отношению
к предыдущему
периоду$ 55,440,617 $ 66,862,880

3. ТРЕНД 1
ДИВЕРСИИ – МАССОВЫЕ АТАКИ НА ИНФРАСТРУКТУРУ
При массовых атаках ущерб может быть колоссальным.
ФИНАНСОВО МОТИВИРОВАННЫЕ
АТАКУЮЩИЕ
АТАКУЮЩИЕ, СПОНСИРУЕМЫЕ
ГОСУДАРСТВАМИ
PetrWrap
Cobalt
Февраль Март Май Июнь
Уничтожение
следов атаки
Filecoder.NHK
BlackEnergy
WannaCry
Lazarus
NotPetya
BlackEnergy
2017
Точечные атаки,
запуск шифрования
«руками» с правами
администраторов домена
Массовые атаки, наносящие
максимальный урон атакуемым
компаниям
Узнайте больше
group-ib.ru/blog

4. Группа APT 1 кибервойск КНР – несколько тысяч
специалистов, размещенных в отдельном 12-
этажном здании в центре Шанхая, подключенном к
мощнейшим оптоволоконным магистралям.
Специализируется на долговременном (от года)
присутствии в атакуемых системах, фокусируясь
на высокотехнологичных компаниях в сферах IT,
энергетики, ВПК, финансов и медиа.
КИТАЙ
Неизвестные подробности атак Lazarus,
главной проправительственной
группировки Северной Кореи, в
расследовании Group-IB – group-
ib.ru/blog/lazarus
Самая масштабная кибератака 2017 года –
заражение вирусом-шифровальщиком
WannaCryptor,
произошла в результате попадания в открытый
доступ инструментов, используемых Агентством
Национальной безопасности США для шпионажа
В мае 2016 стало известно, что вариация
вируса Stuxnet,
с помощью которой Агентство национальной
безопасности пыталось сорвать ядерную
программу Ирана в 2009-2010 годах, была
внедрена в сети объектов ядерной энергетики
в Северной Корее.
Червь Stuxnet направлен на сбор
разведывательной информации и проведение
диверсий в АСУ ТП промышленных
предприятий и объектов критической
инфраструктуры.
США
СЕВЕРНАЯ КОРЕЯ
ТРЕНД 2
ХАКЕРЫ, СПОНСИРУЕМЫЕ ГОСУДАРСТВОМ – НОВАЯ УГРОЗА

5. 5
Меньше внимания
SWIFT
Есть автозалив и под SWIFT,
и под АРМ КБР
Единичные случаи успешных атак
Непубличные инциденты
Опыт
гос. хакеров
Стейджеры
Разведмодули
Взломы партнеров
Атаки на сотрудников банков
Более совершенные
эксплойты и фишинг
Скрытые
каналы
HTTPS
DNS
Легитимные инструменты
Безопасность мулов
Связана с карточным
процессингом
Обналичивание в другой стране
Бестелесность
Легко обходить антивирусы
Работа только в оперативной
памяти
Скрипты на PowerShell, VBS, PHP
Закрепление в системе через:
– Windows Management Instrumentation (WMI)
– Group Policy Objects (GPOs)
– Scheduled task
Карточный
процессинг
– основная цель
Менее защищен, чем SWIFT
Дешевая схема обнала
Снимается чистый кэш
Обналичивание в другой стране
ТРЕНД 3
ЦЕЛЕВЫЕ АТАКИ НА БАНКИ – СМЕНА ТАКТИКИ

6. ТРЕНД 4
ANDROID ТРОЯНЫ – ОСНОВНАЯ УГРОЗА ДЛЯ КЛИЕНТОВ БАНКОВ
Тотальная автоматизация
Либо полностью автоматизированное
хищение, либо хищение «одной
кнопкой»
Трояны под SMS
банкинг
(только в России)
Трояны
с веб-фейками
(Россия)
Трояны
с веб-фейками
(мир)
Agent.SX
Flexnet
Agent.BID
Granzy
Cron
Fakeinst.FB
Opfake.A
Limebot
Honli
Asucub
Agent.BID
ApiMaps
Cron
Tiny.z
Maza-in
Alien-bot
Catelites Android Bot
Instant VBV Grabber
Easy
UfoBot
Rello
Loki
Red Alert
Vasya Bot
ExoBot
Reich
Marcher
Skunk
Abrvall
Xbot
GMbot
Spy.agent.SI
Все новые банковские Android трояны
созданы русскоговорящими разработчиками
Схемы хищений
•Хищение через SMS банкинг
•Переводы с карты на карту
•Переводы через интернет-банкинг
•Перехват доступа к мобильному банкингу
•Поддельный мобильный банкинг
•Покупки с помощью Apple Pay
1
7

7. ТРЕНД 5
КРИПТОИНДУСТРИЯ – НОВЫЙ СТИМУЛ ДЛЯ КИБЕРПРЕСТУПНИКОВ
7
Банковские
ПК и Android трояны
перепрофилируются для атак
на пользователей криптовалют
– TrickBot, Vawtrak, Qadars, Triba,
Marcher
– направленный на клиентов
Средний доход одной группы
в месяц – более $1,5 миллионов
– направленный на сотрудников
Резко участились случаи атак
Целевые атаки
Атаки на биржи как
киберпреступниками,
так и проправительственными
хакерами
THE DAO
Эксплуатация
уязвимости в
смарт-контракте
– $60 миллионов
Parity
Etherium кошелек
Эксплуатация уязвимости
в коде
– $30 миллионов
Bitfinex
Гонконгская биржа
– $72 миллиона
Blockchain.info
Bitcoin кошелек
Перехват домена
Bitcurex
Польская биржа
– $1,5 миллиона, закрылась
вскоре после инцидента
Yapizon
Южнокорейская
биржа
– $5,3 миллиона
Июн
ь
Июл
ь
Авг. Окт
.
Нояб
.
Апр
.
Июнь
Bithumb
Южнокорейская
биржа
Предположительно,
взлом персонального
компьютера сотрудника
– ”миллиарды вон”
Classic Ether Wallet
Перехват домена
с помощью социальной
инженерии
2016 2017
Фишинг

8. ТРЕНД 6
ФИШИНГ – САМАЯ МАССОВАЯ УГРОЗА С МИНИМАЛЬНЫМ УЩЕРБОМ
80%
фишинга приходится
на следующие категории
финансовые сервисы
облачные хранилища
почтовые сервисы
3 : 1
соотношение количества жертв
фишинга к количеству жертв
банковских ПК и Android троянов
10 - 15%
посетителей финансовых
фишинговых сайтов
вводят на них свои данные
gmail.com 80%
yahoo.com 6%
yandex.com 5%
hotmail.com 3%
outlook.com 1%
mail.com 1%
aol.com 1%
mail.ru 1%
other 3%
Фишинговые сайты
по категориям
Адреса для сбора
логинов и паролей
1
8

9. ГЛОБАЛЬНЫЕ ТРЕНДЫ КИБЕРПРЕСТУПНОСТИ
Активизируется гонка
кибервооружений
• расширяется штат и технологическая
оснащенность правительственных
киберармий;
• меняются приоритеты: от кибершпионажа
к контролю над критическими системами;
• активизируется использование
уязвимостей программного обеспечения
и «закладок» зарубежных аппаратных
комплексов.
Усиливаются
кибертеррористические
группировки
• набираются опыта киберподразделения
террористических организаций;
• растет потенциал привлечения опытных
хакеров с рынка.
Развиваются инструменты
для взлома и атаки
• Эффективность
Ограничение доступа системы (АСУ
предприятия) к сети больше не является
препятствием для получения контроля над
ней
• Доступность
Отработанные на банках шаблоны атак
позволяют проникнуть в корпоративную
сеть с помощью легальных и открыто
продающихся инструментов
• Незаметность
Системы для управления IT-
инфраструктурой, облегчающие работу
администраторам сети, помогают
злоумышленникам получать нужную
информацию и доступы, не привлекая
внимания к своей активности

10. МОЖЕТ ЛИ АТАКА ОСТАТЬСЯ НЕЗАМЕЧЕННОЙ?
10
В феврале 2015 года группа Corkow получила
контроль над биржевым терминалом одного
из российских банков и выставила заявки
на покупку и продажу валюты на сумму
более $500 000 000. В результате курс рубля
на биржевых торгах снизился более чем на 15%.
Атака длилась 14 минут, а подготовка к ней —
6 месяцев. Подписчики системы Threat
Intelligence узнали об интересе Corkow
к торговым платформам заранее, а
пользователи TDS успешно предотвратили
проникновения вируса в свои системы.
Полная версия отчета:
www.group-ib.ru/brochures/Group-
IB-Corkow-Report-RU.pdf
Кибератака может продолжаться
от нескольких минут до нескольких месяцев.
Подписчики системы Threat
Intelligence узнали об интересе
Corkow к торговым платформам
почти за год до атаки

11. УНИКАЛЬНАЯ ИНФРАСТРУКТУРА СБОРА СВЕДЕНИЙ О КИБЕРУГРОЗАХ
Мы создали высокотехнологичную инфраструктуру
мониторинга киберугроз в ключевых регионах их
происхождения –
90% данных из закрытых источников.
Мы мониторим площадки в даркнете, следим за
изменениями бот-сетей, извлекая конфигурационные
файлы вредоносных программ и информацию об
украденных идентификаторах.
ОБМЕН
ДАННЫМИ
• распределенная сеть
мониторинга и HoneyNet-
ловушек
• аналитика бот-сетей
• трекеры сетевых атак
• мониторинг хакерских форумов
и закрытых сетевых сообществ
• данные сенсоров TDS
• результаты криминалистических
экспертиз Лаборатории Group-IB
• материалы расследований
• мониторинг и анализ вредоносного ПО
• база обращений и практика Центра
реагирования CERT-GIB
• результаты аудита
• целевая аналитика Group-IB
• команды реагирования CERT
• регистраторы
и хостинг-провайдеры
• производители средств защиты
• организации и объединения
по противодействию киберугрозам
• Europol, Interpol
и правоохранительные органы
1
1
15 лет
отслеживания активности
киберпреступников, сбора и
анализа сведений о самых
сложных
хакерских атак
ОПЫТ
ЭКСПЕРТОВ
ТЕХНОЛОГИЧЕСКАЯ
ИНФРАСТРУКТУРА

12. СИСТЕМА РАННЕГО ПРЕДУПРЕЖДЕНИЯ КИБЕРУГРОЗ
12
Система раннего предупреждения киберугроз Group-IB
позволяет оперативно узнавать о новых угрозах и
блокировать их появление на ваших рубежах обороны.
Она основана на 14-летнем опыте нашей команды,
глубоком анализе хакерских кампаний и актуальных
разведданных из мира киберпреступности.
Время для подготовки к инцидентам - бесценно.
15 лет
опыта в сфере компьютерной
криминалистики, консалтинга
и аудита информ-безопасности

13. 13
СЕНСОР АНАЛИЗА ТРАФИКА ПОВЕДЕНЧЕСКИЙ АНАЛИЗ ФАЙЛОВ
выявляет зараженные узлы,
устанавливая их взаимодействия
с командными центрами по
признакам вредоносной
активности, разрабатываемым на
основе данных из уникальных
источников.
детектирует сетевые аномалии,
генерируемые вредоносными
программами, при помощи
алгоритмов машинного обучения.
интегрируется с системой
поведенческого анализа Polygon
для выявления ранее неизвестного
вредоносного кода.
передает информацию
о выявленных инцидентах в SOC
Group-IB по безопасному каналу
либо в любую внутреннюю
корпоративную систему учета
событий ИБ.
интегрируется с ICAP для анализа
https и выявления угроз в
зашифрованном трафике
TDS Sensor (для сигнатурного и
поведенческого анализа) и
песочница TDS Polygon (для
выявления ранее неизвестного
вредоносного кода)
взаимодополняют друг друга
Polygon получает файлы и объекты
для анализа от сенсора анализа
трафика
Запускает потенциально
вредоносные файлы на ферме
виртуальных машин в безопасной
тестовой среде, настраиваемой и
обновляемой исходя из специфики
вашего бизнеса и региона
Отслеживает поведение
вредоносных объектов на самом
низком уровне при помощи
низкоуровневого системного
монитора
Выносит вердикт об опасности
объекта на основании
классификатора, формируемого с
помощью технологии Machine
Mind
Возвращает вердикт о степени
вредоносности файла сенсору
анализа трафика
УПРЕЖДАЮЩЕЕ ВЫЯВЛЕНИЕ СЕТЕВЫХ АТАК

14. TDS SENSOR: УГРОЗЫ В ТРАФИКЕ

15. TDS POLYGON: УГРОЗЫ В ФАЙЛАХ

16. 16
Компетентная организация
Координационного центра
национального домена сети
Интернет
Партнер IMPACT —
международного партнерства
по противодействию
киберугрозам
Аккредитованный член
международных сообществ
команд реагирования FIRST и
Trusted Introducer
CERT-GIB
первый в России частный
центр круглосуточного
реагирования на инциденты
информационной безопасности
СПЕЦИАЛИСТЫ С
УНИКАЛЬНОЙ
КВАЛИФИКАЦИЕЙ
Глубокое понимание угроз, forensic-
компетенции, многолетний опыт
и знание лучших международных
практик реагирования.
ОПЕРАТИВНЫЙ ОТКЛИК
СЛУЖБЫ ПОДДЕРЖКИ
Большая часть вопросов решается
за 10 минут. Удобная тикет-система
гарантирует, что ни один вопрос
не останется без ответа.
ВЫЕЗД МОБИЛЬНОЙ
БРИГАДЫ
РЕАГИРОВАНИЯ
Криминалисты и инженеры могут
выехать на место инцидента для
полной нейтрализации угрозы и
сбора цифровых доказательств.
Круглосуточная поддержка специалистов через
удобную тикет-систему
КРУГЛОСУТОЧНЫЙ МОНИТОРИНГ ПОПЫТОК АТАК

17. 17
НАДЕЖНЫЙ ПАРТНЕР ДЛЯ ЗАЩИТЫ
О нас
говорят:
Group-IB — одна из ведущих
международных компаний по
предотвращению и расследованию
киберпреступлений и мошенничеств
с использованием высоких технологий
1000+
170 000+
успешных расследований по
всему миру, 150 особо
сложных уголовных дел
инцидентов обработано
круглосуточным центром
реагирования CERT-GIB
Официальный
партнер INTERPOL и
Еuropol,
полицейской
службы Евросоюза
Рекомендована Организацией
по безопасности и
сотрудничеству в Европе (ОБСЕ)
Threat Intelligence от Group-IB
в числе лучших мировых
систем мониторинга
киберугроз по оценке
Forrester и Gartner
Одна из 7 самых влиятельных
компаний в области
кибербезо-
пасности по версии Business
Insider
Лидер российского
рынка исследования
киберугроз
Постоянный член
Всемирного
экономического форума

18. facebook.com/group-ib
info@group-ib.ruwww.group-ib.ru twitter.com/groupib
+7 495 984 33 64group-ib.ru/blog
Предотвращаем и расследуем
киберпреступления с 2003 года.
instagram.com/group_ib
t.me/group_ib