Uploaded bymalvvv
PPTX, PDF85 views

03

Доклад группы IB анализирует ключевые тенденции высокотехнологичных преступлений в России за период с 2016 по 2017 год, обнаруживая рост любого рода атак, включая массовые и целевые атаки на инфраструктуру. Обсуждаются новые угрозы от хакеров, спонсируемых государствами, а также особое внимание уделяется киберпреступлениям в криптоиндустрии и фишингу. Доклад также выявляет активизацию кибертеррористических групп и необходимость повышения уровня защиты от таких угроз.

Embed presentation

Download to read offline
Ключевые тенденции высокотехнологичных преступлений Докладчик: Сергей Золотухин Group-IB
ОЦЕНКА РЫНКА (РОССИЯ) H2 2016 - H1 2017 H2 2015 - H1 2016 Изменения по отношению к предыдущему периоду$ 55,440,617 $ 66,862,880
ТРЕНД 1 ДИВЕРСИИ – МАССОВЫЕ АТАКИ НА ИНФРАСТРУКТУРУ При массовых атаках ущерб может быть колоссальным. ФИНАНСОВО МОТИВИРОВАННЫЕ АТАКУЮЩИЕ АТАКУЮЩИЕ, СПОНСИРУЕМЫЕ ГОСУДАРСТВАМИ PetrWrap Cobalt Февраль Март Май Июнь Уничтожение следов атаки Filecoder.NHK BlackEnergy WannaCry Lazarus NotPetya BlackEnergy 2017 Точечные атаки, запуск шифрования «руками» с правами администраторов домена Массовые атаки, наносящие максимальный урон атакуемым компаниям Узнайте больше group-ib.ru/blog
Группа APT 1 кибервойск КНР – несколько тысяч специалистов, размещенных в отдельном 12- этажном здании в центре Шанхая, подключенном к мощнейшим оптоволоконным магистралям. Специализируется на долговременном (от года) присутствии в атакуемых системах, фокусируясь на высокотехнологичных компаниях в сферах IT, энергетики, ВПК, финансов и медиа. КИТАЙ Неизвестные подробности атак Lazarus, главной проправительственной группировки Северной Кореи, в расследовании Group-IB – group- ib.ru/blog/lazarus Самая масштабная кибератака 2017 года – заражение вирусом-шифровальщиком WannaCryptor, произошла в результате попадания в открытый доступ инструментов, используемых Агентством Национальной безопасности США для шпионажа В мае 2016 стало известно, что вариация вируса Stuxnet, с помощью которой Агентство национальной безопасности пыталось сорвать ядерную программу Ирана в 2009-2010 годах, была внедрена в сети объектов ядерной энергетики в Северной Корее. Червь Stuxnet направлен на сбор разведывательной информации и проведение диверсий в АСУ ТП промышленных предприятий и объектов критической инфраструктуры. США СЕВЕРНАЯ КОРЕЯ ТРЕНД 2 ХАКЕРЫ, СПОНСИРУЕМЫЕ ГОСУДАРСТВОМ – НОВАЯ УГРОЗА
5 Меньше внимания SWIFT Есть автозалив и под SWIFT, и под АРМ КБР Единичные случаи успешных атак Непубличные инциденты Опыт гос. хакеров Стейджеры Разведмодули Взломы партнеров Атаки на сотрудников банков Более совершенные эксплойты и фишинг Скрытые каналы HTTPS DNS Легитимные инструменты Безопасность мулов Связана с карточным процессингом Обналичивание в другой стране Бестелесность Легко обходить антивирусы Работа только в оперативной памяти Скрипты на PowerShell, VBS, PHP Закрепление в системе через: – Windows Management Instrumentation (WMI) – Group Policy Objects (GPOs) – Scheduled task Карточный процессинг – основная цель Менее защищен, чем SWIFT Дешевая схема обнала Снимается чистый кэш Обналичивание в другой стране ТРЕНД 3 ЦЕЛЕВЫЕ АТАКИ НА БАНКИ – СМЕНА ТАКТИКИ
ТРЕНД 4 ANDROID ТРОЯНЫ – ОСНОВНАЯ УГРОЗА ДЛЯ КЛИЕНТОВ БАНКОВ Тотальная автоматизация Либо полностью автоматизированное хищение, либо хищение «одной кнопкой» Трояны под SMS банкинг (только в России) Трояны с веб-фейками (Россия) Трояны с веб-фейками (мир) Agent.SX Flexnet Agent.BID Granzy Cron Fakeinst.FB Opfake.A Limebot Honli Asucub Agent.BID ApiMaps Cron Tiny.z Maza-in Alien-bot Catelites Android Bot Instant VBV Grabber Easy UfoBot Rello Loki Red Alert Vasya Bot ExoBot Reich Marcher Skunk Abrvall Xbot GMbot Spy.agent.SI Все новые банковские Android трояны созданы русскоговорящими разработчиками Схемы хищений •Хищение через SMS банкинг •Переводы с карты на карту •Переводы через интернет-банкинг •Перехват доступа к мобильному банкингу •Поддельный мобильный банкинг •Покупки с помощью Apple Pay 1 7
ТРЕНД 5 КРИПТОИНДУСТРИЯ – НОВЫЙ СТИМУЛ ДЛЯ КИБЕРПРЕСТУПНИКОВ 7 Банковские ПК и Android трояны перепрофилируются для атак на пользователей криптовалют – TrickBot, Vawtrak, Qadars, Triba, Marcher – направленный на клиентов Средний доход одной группы в месяц – более $1,5 миллионов – направленный на сотрудников Резко участились случаи атак Целевые атаки Атаки на биржи как киберпреступниками, так и проправительственными хакерами THE DAO Эксплуатация уязвимости в смарт-контракте – $60 миллионов Parity Etherium кошелек Эксплуатация уязвимости в коде – $30 миллионов Bitfinex Гонконгская биржа – $72 миллиона Blockchain.info Bitcoin кошелек Перехват домена Bitcurex Польская биржа – $1,5 миллиона, закрылась вскоре после инцидента Yapizon Южнокорейская биржа – $5,3 миллиона Июн ь Июл ь Авг. Окт . Нояб . Апр . Июнь Bithumb Южнокорейская биржа Предположительно, взлом персонального компьютера сотрудника – ”миллиарды вон” Classic Ether Wallet Перехват домена с помощью социальной инженерии 2016 2017 Фишинг
ТРЕНД 6 ФИШИНГ – САМАЯ МАССОВАЯ УГРОЗА С МИНИМАЛЬНЫМ УЩЕРБОМ 80% фишинга приходится на следующие категории финансовые сервисы облачные хранилища почтовые сервисы 3 : 1 соотношение количества жертв фишинга к количеству жертв банковских ПК и Android троянов 10 - 15% посетителей финансовых фишинговых сайтов вводят на них свои данные gmail.com 80% yahoo.com 6% yandex.com 5% hotmail.com 3% outlook.com 1% mail.com 1% aol.com 1% mail.ru 1% other 3% Фишинговые сайты по категориям Адреса для сбора логинов и паролей 1 8
ГЛОБАЛЬНЫЕ ТРЕНДЫ КИБЕРПРЕСТУПНОСТИ Активизируется гонка кибервооружений • расширяется штат и технологическая оснащенность правительственных киберармий; • меняются приоритеты: от кибершпионажа к контролю над критическими системами; • активизируется использование уязвимостей программного обеспечения и «закладок» зарубежных аппаратных комплексов. Усиливаются кибертеррористические группировки • набираются опыта киберподразделения террористических организаций; • растет потенциал привлечения опытных хакеров с рынка. Развиваются инструменты для взлома и атаки • Эффективность Ограничение доступа системы (АСУ предприятия) к сети больше не является препятствием для получения контроля над ней • Доступность Отработанные на банках шаблоны атак позволяют проникнуть в корпоративную сеть с помощью легальных и открыто продающихся инструментов • Незаметность Системы для управления IT- инфраструктурой, облегчающие работу администраторам сети, помогают злоумышленникам получать нужную информацию и доступы, не привлекая внимания к своей активности
МОЖЕТ ЛИ АТАКА ОСТАТЬСЯ НЕЗАМЕЧЕННОЙ? 10 В феврале 2015 года группа Corkow получила контроль над биржевым терминалом одного из российских банков и выставила заявки на покупку и продажу валюты на сумму более $500 000 000. В результате курс рубля на биржевых торгах снизился более чем на 15%. Атака длилась 14 минут, а подготовка к ней — 6 месяцев. Подписчики системы Threat Intelligence узнали об интересе Corkow к торговым платформам заранее, а пользователи TDS успешно предотвратили проникновения вируса в свои системы. Полная версия отчета: www.group-ib.ru/brochures/Group- IB-Corkow-Report-RU.pdf Кибератака может продолжаться от нескольких минут до нескольких месяцев. Подписчики системы Threat Intelligence узнали об интересе Corkow к торговым платформам почти за год до атаки
УНИКАЛЬНАЯ ИНФРАСТРУКТУРА СБОРА СВЕДЕНИЙ О КИБЕРУГРОЗАХ Мы создали высокотехнологичную инфраструктуру мониторинга киберугроз в ключевых регионах их происхождения – 90% данных из закрытых источников. Мы мониторим площадки в даркнете, следим за изменениями бот-сетей, извлекая конфигурационные файлы вредоносных программ и информацию об украденных идентификаторах. ОБМЕН ДАННЫМИ • распределенная сеть мониторинга и HoneyNet- ловушек • аналитика бот-сетей • трекеры сетевых атак • мониторинг хакерских форумов и закрытых сетевых сообществ • данные сенсоров TDS • результаты криминалистических экспертиз Лаборатории Group-IB • материалы расследований • мониторинг и анализ вредоносного ПО • база обращений и практика Центра реагирования CERT-GIB • результаты аудита • целевая аналитика Group-IB • команды реагирования CERT • регистраторы и хостинг-провайдеры • производители средств защиты • организации и объединения по противодействию киберугрозам • Europol, Interpol и правоохранительные органы 1 1 15 лет отслеживания активности киберпреступников, сбора и анализа сведений о самых сложных хакерских атак ОПЫТ ЭКСПЕРТОВ ТЕХНОЛОГИЧЕСКАЯ ИНФРАСТРУКТУРА
СИСТЕМА РАННЕГО ПРЕДУПРЕЖДЕНИЯ КИБЕРУГРОЗ 12 Система раннего предупреждения киберугроз Group-IB позволяет оперативно узнавать о новых угрозах и блокировать их появление на ваших рубежах обороны. Она основана на 14-летнем опыте нашей команды, глубоком анализе хакерских кампаний и актуальных разведданных из мира киберпреступности. Время для подготовки к инцидентам - бесценно. 15 лет опыта в сфере компьютерной криминалистики, консалтинга и аудита информ-безопасности
13 СЕНСОР АНАЛИЗА ТРАФИКА ПОВЕДЕНЧЕСКИЙ АНАЛИЗ ФАЙЛОВ выявляет зараженные узлы, устанавливая их взаимодействия с командными центрами по признакам вредоносной активности, разрабатываемым на основе данных из уникальных источников. детектирует сетевые аномалии, генерируемые вредоносными программами, при помощи алгоритмов машинного обучения. интегрируется с системой поведенческого анализа Polygon для выявления ранее неизвестного вредоносного кода. передает информацию о выявленных инцидентах в SOC Group-IB по безопасному каналу либо в любую внутреннюю корпоративную систему учета событий ИБ. интегрируется с ICAP для анализа https и выявления угроз в зашифрованном трафике TDS Sensor (для сигнатурного и поведенческого анализа) и песочница TDS Polygon (для выявления ранее неизвестного вредоносного кода) взаимодополняют друг друга Polygon получает файлы и объекты для анализа от сенсора анализа трафика Запускает потенциально вредоносные файлы на ферме виртуальных машин в безопасной тестовой среде, настраиваемой и обновляемой исходя из специфики вашего бизнеса и региона Отслеживает поведение вредоносных объектов на самом низком уровне при помощи низкоуровневого системного монитора Выносит вердикт об опасности объекта на основании классификатора, формируемого с помощью технологии Machine Mind Возвращает вердикт о степени вредоносности файла сенсору анализа трафика УПРЕЖДАЮЩЕЕ ВЫЯВЛЕНИЕ СЕТЕВЫХ АТАК
TDS SENSOR: УГРОЗЫ В ТРАФИКЕ
TDS POLYGON: УГРОЗЫ В ФАЙЛАХ
16 Компетентная организация Координационного центра национального домена сети Интернет Партнер IMPACT — международного партнерства по противодействию киберугрозам Аккредитованный член международных сообществ команд реагирования FIRST и Trusted Introducer CERT-GIB первый в России частный центр круглосуточного реагирования на инциденты информационной безопасности СПЕЦИАЛИСТЫ С УНИКАЛЬНОЙ КВАЛИФИКАЦИЕЙ Глубокое понимание угроз, forensic- компетенции, многолетний опыт и знание лучших международных практик реагирования. ОПЕРАТИВНЫЙ ОТКЛИК СЛУЖБЫ ПОДДЕРЖКИ Большая часть вопросов решается за 10 минут. Удобная тикет-система гарантирует, что ни один вопрос не останется без ответа. ВЫЕЗД МОБИЛЬНОЙ БРИГАДЫ РЕАГИРОВАНИЯ Криминалисты и инженеры могут выехать на место инцидента для полной нейтрализации угрозы и сбора цифровых доказательств. Круглосуточная поддержка специалистов через удобную тикет-систему КРУГЛОСУТОЧНЫЙ МОНИТОРИНГ ПОПЫТОК АТАК
17 НАДЕЖНЫЙ ПАРТНЕР ДЛЯ ЗАЩИТЫ О нас говорят: Group-IB — одна из ведущих международных компаний по предотвращению и расследованию киберпреступлений и мошенничеств с использованием высоких технологий 1000+ 170 000+ успешных расследований по всему миру, 150 особо сложных уголовных дел инцидентов обработано круглосуточным центром реагирования CERT-GIB Официальный партнер INTERPOL и Еuropol, полицейской службы Евросоюза Рекомендована Организацией по безопасности и сотрудничеству в Европе (ОБСЕ) Threat Intelligence от Group-IB в числе лучших мировых систем мониторинга киберугроз по оценке Forrester и Gartner Одна из 7 самых влиятельных компаний в области кибербезо- пасности по версии Business Insider Лидер российского рынка исследования киберугроз Постоянный член Всемирного экономического форума
facebook.com/group-ib info@group-ib.ruwww.group-ib.ru twitter.com/groupib +7 495 984 33 64group-ib.ru/blog Предотвращаем и расследуем киберпреступления с 2003 года. instagram.com/group_ib t.me/group_ib

More Related Content

PDF
Атрибуция кибератак
byAleksey Lukatskiy
 
PDF
АТАКИ НА БРОКЕРСКИЕ И РАСЧЕТНЫЕ СИСТЕМЫ
byNamik Heydarov
 
PDF
10 трендов современной киберпреступности
byИнфобанк бай
 
PDF
Group-IB. Угрозы информационной безопасности в банковской сфере.
byExpolink
 
PDF
Hi-Tech Crime Trends 2016
bysachkord
 
PDF
Trend Micro. Карен Карагедян. "Ransomware: платить нельзя защититься"
byExpolink
 
PDF
Биография сетевого периметра в картинках
byNamik Heydarov
 
PDF
Бизнес-модель современной киберпреступности
byAleksey Lukatskiy
 
Атрибуция кибератак
byAleksey Lukatskiy
 
АТАКИ НА БРОКЕРСКИЕ И РАСЧЕТНЫЕ СИСТЕМЫ
byNamik Heydarov
 
10 трендов современной киберпреступности
byИнфобанк бай
 
Group-IB. Угрозы информационной безопасности в банковской сфере.
byExpolink
 
Hi-Tech Crime Trends 2016
bysachkord
 
Trend Micro. Карен Карагедян. "Ransomware: платить нельзя защититься"
byExpolink
 
Биография сетевого периметра в картинках
byNamik Heydarov
 
Бизнес-модель современной киберпреступности
byAleksey Lukatskiy
 

What's hot

PPTX
Ты, а не тебя. Армии умных ботов в руках хакера
byPositive Hack Days
 
PPT
А. Луцкович, ФРОДЕКС - FraudTrack: современный подход в борьбе с мошенничеством
byExpolink
 
PPT
А. Луцкович, ФРОДЕКС - FraudTrack: современный подход в борьбе с мошенничеством
byExpolink
 
PDF
3 ksb predictions_2017_rus
byAndrey Apuhtin
 
PDF
Увидеть все
byCisco Russia
 
PDF
Ksb2018 story of the year miners
bymalvvv
 
PDF
statistics 2018
bymalvvv
 
PDF
Лаборатория Касперского. Александр Бондаренко. Киасофт. "Стратегия противодей...
byExpolink
 
PDF
Fortinet. Алексей Андрияшин. "Стратегический подход к противодействию совреме...
byExpolink
 
PDF
Эволюция целенаправленных атак на банки
byNamik Heydarov
 
PPT
Фродекс - Мошенничество в системах ДБО
byExpolink
 
PPT
Андрей Луцкович (Фродекс): Мошенничество в системах ДБО
byExpolink
 
PPSX
Фродекс - Мошенничество в системах ДБО
byExpolink
 
PDF
2 kaspersky security_bulletin_2016_review_rus
byAndrey Apuhtin
 
PPT
Фродекс. Андрей Луцкович. " FraudWall - антифрод для АРМ-а КБР"
byExpolink
 
PDF
Доктор Веб. Вячеслав Медведев. "Как избавиться от шифровальщиков"
byExpolink
 
PDF
ФРОДЕКС. Андрей Луцкович. "Актуальные тренды развития угроз кибермошенничеств...
byExpolink
 
PDF
1 kaspersky security_bulletin_2016_story_of_the_year_rus
byAndrey Apuhtin
 
PDF
Новая триада законодательства по финансовой безопасности
byAleksey Lukatskiy
 
Ты, а не тебя. Армии умных ботов в руках хакера
byPositive Hack Days
 
А. Луцкович, ФРОДЕКС - FraudTrack: современный подход в борьбе с мошенничеством
byExpolink
 
А. Луцкович, ФРОДЕКС - FraudTrack: современный подход в борьбе с мошенничеством
byExpolink
 
3 ksb predictions_2017_rus
byAndrey Apuhtin
 
Увидеть все
byCisco Russia
 
Ksb2018 story of the year miners
bymalvvv
 
statistics 2018
bymalvvv
 
Лаборатория Касперского. Александр Бондаренко. Киасофт. "Стратегия противодей...
byExpolink
 
Fortinet. Алексей Андрияшин. "Стратегический подход к противодействию совреме...
byExpolink
 
Эволюция целенаправленных атак на банки
byNamik Heydarov
 
Фродекс - Мошенничество в системах ДБО
byExpolink
 
Андрей Луцкович (Фродекс): Мошенничество в системах ДБО
byExpolink
 
Фродекс - Мошенничество в системах ДБО
byExpolink
 
2 kaspersky security_bulletin_2016_review_rus
byAndrey Apuhtin
 
Фродекс. Андрей Луцкович. " FraudWall - антифрод для АРМ-а КБР"
byExpolink
 
Доктор Веб. Вячеслав Медведев. "Как избавиться от шифровальщиков"
byExpolink
 
ФРОДЕКС. Андрей Луцкович. "Актуальные тренды развития угроз кибермошенничеств...
byExpolink
 
1 kaspersky security_bulletin_2016_story_of_the_year_rus
byAndrey Apuhtin
 
Новая триада законодательства по финансовой безопасности
byAleksey Lukatskiy
 

Similar to 03

PDF
Решения КРОК для противодействия направленным атакам
byКРОК
 
PDF
Group IB. Серегей Золотухин. "Киберразведка - новый инструмент для ТОП-менед...
byExpolink
 
PPTX
Эволюция таргетированных атак в кризис
byInfoWatch
 
PDF
Системы Breach Detection - вебинар BISA
byDenis Bezkorovayny
 
PDF
Тенденции мира информационной безопасности для финансовых организаций
byAleksey Lukatskiy
 
PDF
Cовременные угрозы ИБ в корпоративной инфраструктуре и технологии противодейс...
byIBS
 
PDF
Group IB. Сергей Золотухин "Тренды развития киберпреступлений 2015"
byExpolink
 
PDF
Kaspersky_cyber_meeting_3.0_presentation
byLena Rovich
 
PPTX
сачков
byAndrew Paymushkin
 
PDF
Опыт противодействия целенаправленным атакам в финансовых организациях
bySelectedPresentations
 
PDF
Kaspersky Security Bulletin 2015: сбывшиеся прогнозы
byAndrey Apuhtin
 
PDF
Cybersecurity 2018-2019
bymalvvv
 
PDF
Imperva, держи марку!
byКомпания УЦСБ
 
PDF
Ksb 2013 ru
byКомсс Файквэе
 
PDF
Anti-Malware. Илья Шабанов. "Глобальные тенденции рынка ИБ"
byExpolink
 
PPTX
пр Прогнозы и перспективы развития ИТ и ИБ 2013 02-10
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
PDF
Тренды информационной безопасности в России в 2015-м году
byAleksey Lukatskiy
 
PDF
Cybersecurity threatscape-2017
bymalvvv
 
PDF
Алексей Лукацкий. (Cisco). "Почти нетехнологические тенденции ИБ в России в и...
byExpolink
 
PDF
Информационная безопасность, Макаров, CNews
byStanislav Makarov
 
Решения КРОК для противодействия направленным атакам
byКРОК
 
Group IB. Серегей Золотухин. "Киберразведка - новый инструмент для ТОП-менед...
byExpolink
 
Эволюция таргетированных атак в кризис
byInfoWatch
 
Системы Breach Detection - вебинар BISA
byDenis Bezkorovayny
 
Тенденции мира информационной безопасности для финансовых организаций
byAleksey Lukatskiy
 
Cовременные угрозы ИБ в корпоративной инфраструктуре и технологии противодейс...
byIBS
 
Group IB. Сергей Золотухин "Тренды развития киберпреступлений 2015"
byExpolink
 
Kaspersky_cyber_meeting_3.0_presentation
byLena Rovich
 
сачков
byAndrew Paymushkin
 
Опыт противодействия целенаправленным атакам в финансовых организациях
bySelectedPresentations
 
Kaspersky Security Bulletin 2015: сбывшиеся прогнозы
byAndrey Apuhtin
 
Cybersecurity 2018-2019
bymalvvv
 
Imperva, держи марку!
byКомпания УЦСБ
 
Ksb 2013 ru
byКомсс Файквэе
 
Anti-Malware. Илья Шабанов. "Глобальные тенденции рынка ИБ"
byExpolink
 
пр Прогнозы и перспективы развития ИТ и ИБ 2013 02-10
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Тренды информационной безопасности в России в 2015-м году
byAleksey Lukatskiy
 
Cybersecurity threatscape-2017
bymalvvv
 
Алексей Лукацкий. (Cisco). "Почти нетехнологические тенденции ИБ в России в и...
byExpolink
 
Информационная безопасность, Макаров, CNews
byStanislav Makarov
 

More from malvvv

PDF
2018 ic3 report
bymalvvv
 
PDF
02 itrium
bymalvvv
 
PDF
En 50132-7
bymalvvv
 
PDF
Web vulnerabilities-2018
bymalvvv
 
PDF
08 dormakaba
bymalvvv
 
PDF
Kpsn
bymalvvv
 
PDF
Owasp top-10 proactive controls-2018
bymalvvv
 
PDF
01 hid
bymalvvv
 
PDF
05 sigur
bymalvvv
 
PDF
Google android security_2018_report
bymalvvv
 
PDF
09 assaabloy
bymalvvv
 
PDF
Testirovanie parolnyh politik
bymalvvv
 
PDF
12 vzor
bymalvvv
 
PDF
11
bymalvvv
 
PDF
06 videomax
bymalvvv
 
PDF
threats
bymalvvv
 
PDF
07 parsec
bymalvvv
 
PDF
10 isbc
bymalvvv
 
PDF
01
bymalvvv
 
PDF
04 perco
bymalvvv
 
2018 ic3 report
bymalvvv
 
02 itrium
bymalvvv
 
En 50132-7
bymalvvv
 
Web vulnerabilities-2018
bymalvvv
 
08 dormakaba
bymalvvv
 
Kpsn
bymalvvv
 
Owasp top-10 proactive controls-2018
bymalvvv
 
01 hid
bymalvvv
 
05 sigur
bymalvvv
 
Google android security_2018_report
bymalvvv
 
09 assaabloy
bymalvvv
 
Testirovanie parolnyh politik
bymalvvv
 
12 vzor
bymalvvv
 
11
bymalvvv
 
06 videomax
bymalvvv
 
threats
bymalvvv
 
07 parsec
bymalvvv
 
10 isbc
bymalvvv
 
01
bymalvvv
 
04 perco
bymalvvv
 

03

  • 1.
  • 2.
    ОЦЕНКА РЫНКА (РОССИЯ) H22016 - H1 2017 H2 2015 - H1 2016 Изменения по отношению к предыдущему периоду$ 55,440,617 $ 66,862,880
  • 3.
    ТРЕНД 1 ДИВЕРСИИ –МАССОВЫЕ АТАКИ НА ИНФРАСТРУКТУРУ При массовых атаках ущерб может быть колоссальным. ФИНАНСОВО МОТИВИРОВАННЫЕ АТАКУЮЩИЕ АТАКУЮЩИЕ, СПОНСИРУЕМЫЕ ГОСУДАРСТВАМИ PetrWrap Cobalt Февраль Март Май Июнь Уничтожение следов атаки Filecoder.NHK BlackEnergy WannaCry Lazarus NotPetya BlackEnergy 2017 Точечные атаки, запуск шифрования «руками» с правами администраторов домена Массовые атаки, наносящие максимальный урон атакуемым компаниям Узнайте больше group-ib.ru/blog
  • 4.
    Группа APT 1кибервойск КНР – несколько тысяч специалистов, размещенных в отдельном 12- этажном здании в центре Шанхая, подключенном к мощнейшим оптоволоконным магистралям. Специализируется на долговременном (от года) присутствии в атакуемых системах, фокусируясь на высокотехнологичных компаниях в сферах IT, энергетики, ВПК, финансов и медиа. КИТАЙ Неизвестные подробности атак Lazarus, главной проправительственной группировки Северной Кореи, в расследовании Group-IB – group- ib.ru/blog/lazarus Самая масштабная кибератака 2017 года – заражение вирусом-шифровальщиком WannaCryptor, произошла в результате попадания в открытый доступ инструментов, используемых Агентством Национальной безопасности США для шпионажа В мае 2016 стало известно, что вариация вируса Stuxnet, с помощью которой Агентство национальной безопасности пыталось сорвать ядерную программу Ирана в 2009-2010 годах, была внедрена в сети объектов ядерной энергетики в Северной Корее. Червь Stuxnet направлен на сбор разведывательной информации и проведение диверсий в АСУ ТП промышленных предприятий и объектов критической инфраструктуры. США СЕВЕРНАЯ КОРЕЯ ТРЕНД 2 ХАКЕРЫ, СПОНСИРУЕМЫЕ ГОСУДАРСТВОМ – НОВАЯ УГРОЗА
  • 5.
    5 Меньше внимания SWIFT Есть автозаливи под SWIFT, и под АРМ КБР Единичные случаи успешных атак Непубличные инциденты Опыт гос. хакеров Стейджеры Разведмодули Взломы партнеров Атаки на сотрудников банков Более совершенные эксплойты и фишинг Скрытые каналы HTTPS DNS Легитимные инструменты Безопасность мулов Связана с карточным процессингом Обналичивание в другой стране Бестелесность Легко обходить антивирусы Работа только в оперативной памяти Скрипты на PowerShell, VBS, PHP Закрепление в системе через: – Windows Management Instrumentation (WMI) – Group Policy Objects (GPOs) – Scheduled task Карточный процессинг – основная цель Менее защищен, чем SWIFT Дешевая схема обнала Снимается чистый кэш Обналичивание в другой стране ТРЕНД 3 ЦЕЛЕВЫЕ АТАКИ НА БАНКИ – СМЕНА ТАКТИКИ
  • 6.
    ТРЕНД 4 ANDROID ТРОЯНЫ– ОСНОВНАЯ УГРОЗА ДЛЯ КЛИЕНТОВ БАНКОВ Тотальная автоматизация Либо полностью автоматизированное хищение, либо хищение «одной кнопкой» Трояны под SMS банкинг (только в России) Трояны с веб-фейками (Россия) Трояны с веб-фейками (мир) Agent.SX Flexnet Agent.BID Granzy Cron Fakeinst.FB Opfake.A Limebot Honli Asucub Agent.BID ApiMaps Cron Tiny.z Maza-in Alien-bot Catelites Android Bot Instant VBV Grabber Easy UfoBot Rello Loki Red Alert Vasya Bot ExoBot Reich Marcher Skunk Abrvall Xbot GMbot Spy.agent.SI Все новые банковские Android трояны созданы русскоговорящими разработчиками Схемы хищений •Хищение через SMS банкинг •Переводы с карты на карту •Переводы через интернет-банкинг •Перехват доступа к мобильному банкингу •Поддельный мобильный банкинг •Покупки с помощью Apple Pay 1 7
  • 7.
    ТРЕНД 5 КРИПТОИНДУСТРИЯ –НОВЫЙ СТИМУЛ ДЛЯ КИБЕРПРЕСТУПНИКОВ 7 Банковские ПК и Android трояны перепрофилируются для атак на пользователей криптовалют – TrickBot, Vawtrak, Qadars, Triba, Marcher – направленный на клиентов Средний доход одной группы в месяц – более $1,5 миллионов – направленный на сотрудников Резко участились случаи атак Целевые атаки Атаки на биржи как киберпреступниками, так и проправительственными хакерами THE DAO Эксплуатация уязвимости в смарт-контракте – $60 миллионов Parity Etherium кошелек Эксплуатация уязвимости в коде – $30 миллионов Bitfinex Гонконгская биржа – $72 миллиона Blockchain.info Bitcoin кошелек Перехват домена Bitcurex Польская биржа – $1,5 миллиона, закрылась вскоре после инцидента Yapizon Южнокорейская биржа – $5,3 миллиона Июн ь Июл ь Авг. Окт . Нояб . Апр . Июнь Bithumb Южнокорейская биржа Предположительно, взлом персонального компьютера сотрудника – ”миллиарды вон” Classic Ether Wallet Перехват домена с помощью социальной инженерии 2016 2017 Фишинг
  • 8.
    ТРЕНД 6 ФИШИНГ –САМАЯ МАССОВАЯ УГРОЗА С МИНИМАЛЬНЫМ УЩЕРБОМ 80% фишинга приходится на следующие категории финансовые сервисы облачные хранилища почтовые сервисы 3 : 1 соотношение количества жертв фишинга к количеству жертв банковских ПК и Android троянов 10 - 15% посетителей финансовых фишинговых сайтов вводят на них свои данные gmail.com 80% yahoo.com 6% yandex.com 5% hotmail.com 3% outlook.com 1% mail.com 1% aol.com 1% mail.ru 1% other 3% Фишинговые сайты по категориям Адреса для сбора логинов и паролей 1 8
  • 9.
    ГЛОБАЛЬНЫЕ ТРЕНДЫ КИБЕРПРЕСТУПНОСТИ Активизируетсягонка кибервооружений • расширяется штат и технологическая оснащенность правительственных киберармий; • меняются приоритеты: от кибершпионажа к контролю над критическими системами; • активизируется использование уязвимостей программного обеспечения и «закладок» зарубежных аппаратных комплексов. Усиливаются кибертеррористические группировки • набираются опыта киберподразделения террористических организаций; • растет потенциал привлечения опытных хакеров с рынка. Развиваются инструменты для взлома и атаки • Эффективность Ограничение доступа системы (АСУ предприятия) к сети больше не является препятствием для получения контроля над ней • Доступность Отработанные на банках шаблоны атак позволяют проникнуть в корпоративную сеть с помощью легальных и открыто продающихся инструментов • Незаметность Системы для управления IT- инфраструктурой, облегчающие работу администраторам сети, помогают злоумышленникам получать нужную информацию и доступы, не привлекая внимания к своей активности
  • 10.
    МОЖЕТ ЛИ АТАКАОСТАТЬСЯ НЕЗАМЕЧЕННОЙ? 10 В феврале 2015 года группа Corkow получила контроль над биржевым терминалом одного из российских банков и выставила заявки на покупку и продажу валюты на сумму более $500 000 000. В результате курс рубля на биржевых торгах снизился более чем на 15%. Атака длилась 14 минут, а подготовка к ней — 6 месяцев. Подписчики системы Threat Intelligence узнали об интересе Corkow к торговым платформам заранее, а пользователи TDS успешно предотвратили проникновения вируса в свои системы. Полная версия отчета: www.group-ib.ru/brochures/Group- IB-Corkow-Report-RU.pdf Кибератака может продолжаться от нескольких минут до нескольких месяцев. Подписчики системы Threat Intelligence узнали об интересе Corkow к торговым платформам почти за год до атаки
  • 11.
    УНИКАЛЬНАЯ ИНФРАСТРУКТУРА СБОРАСВЕДЕНИЙ О КИБЕРУГРОЗАХ Мы создали высокотехнологичную инфраструктуру мониторинга киберугроз в ключевых регионах их происхождения – 90% данных из закрытых источников. Мы мониторим площадки в даркнете, следим за изменениями бот-сетей, извлекая конфигурационные файлы вредоносных программ и информацию об украденных идентификаторах. ОБМЕН ДАННЫМИ • распределенная сеть мониторинга и HoneyNet- ловушек • аналитика бот-сетей • трекеры сетевых атак • мониторинг хакерских форумов и закрытых сетевых сообществ • данные сенсоров TDS • результаты криминалистических экспертиз Лаборатории Group-IB • материалы расследований • мониторинг и анализ вредоносного ПО • база обращений и практика Центра реагирования CERT-GIB • результаты аудита • целевая аналитика Group-IB • команды реагирования CERT • регистраторы и хостинг-провайдеры • производители средств защиты • организации и объединения по противодействию киберугрозам • Europol, Interpol и правоохранительные органы 1 1 15 лет отслеживания активности киберпреступников, сбора и анализа сведений о самых сложных хакерских атак ОПЫТ ЭКСПЕРТОВ ТЕХНОЛОГИЧЕСКАЯ ИНФРАСТРУКТУРА
  • 12.
    СИСТЕМА РАННЕГО ПРЕДУПРЕЖДЕНИЯКИБЕРУГРОЗ 12 Система раннего предупреждения киберугроз Group-IB позволяет оперативно узнавать о новых угрозах и блокировать их появление на ваших рубежах обороны. Она основана на 14-летнем опыте нашей команды, глубоком анализе хакерских кампаний и актуальных разведданных из мира киберпреступности. Время для подготовки к инцидентам - бесценно. 15 лет опыта в сфере компьютерной криминалистики, консалтинга и аудита информ-безопасности
  • 13.
    13 СЕНСОР АНАЛИЗА ТРАФИКАПОВЕДЕНЧЕСКИЙ АНАЛИЗ ФАЙЛОВ выявляет зараженные узлы, устанавливая их взаимодействия с командными центрами по признакам вредоносной активности, разрабатываемым на основе данных из уникальных источников. детектирует сетевые аномалии, генерируемые вредоносными программами, при помощи алгоритмов машинного обучения. интегрируется с системой поведенческого анализа Polygon для выявления ранее неизвестного вредоносного кода. передает информацию о выявленных инцидентах в SOC Group-IB по безопасному каналу либо в любую внутреннюю корпоративную систему учета событий ИБ. интегрируется с ICAP для анализа https и выявления угроз в зашифрованном трафике TDS Sensor (для сигнатурного и поведенческого анализа) и песочница TDS Polygon (для выявления ранее неизвестного вредоносного кода) взаимодополняют друг друга Polygon получает файлы и объекты для анализа от сенсора анализа трафика Запускает потенциально вредоносные файлы на ферме виртуальных машин в безопасной тестовой среде, настраиваемой и обновляемой исходя из специфики вашего бизнеса и региона Отслеживает поведение вредоносных объектов на самом низком уровне при помощи низкоуровневого системного монитора Выносит вердикт об опасности объекта на основании классификатора, формируемого с помощью технологии Machine Mind Возвращает вердикт о степени вредоносности файла сенсору анализа трафика УПРЕЖДАЮЩЕЕ ВЫЯВЛЕНИЕ СЕТЕВЫХ АТАК
  • 14.
    TDS SENSOR: УГРОЗЫВ ТРАФИКЕ
  • 15.
  • 16.
    16 Компетентная организация Координационного центра национальногодомена сети Интернет Партнер IMPACT — международного партнерства по противодействию киберугрозам Аккредитованный член международных сообществ команд реагирования FIRST и Trusted Introducer CERT-GIB первый в России частный центр круглосуточного реагирования на инциденты информационной безопасности СПЕЦИАЛИСТЫ С УНИКАЛЬНОЙ КВАЛИФИКАЦИЕЙ Глубокое понимание угроз, forensic- компетенции, многолетний опыт и знание лучших международных практик реагирования. ОПЕРАТИВНЫЙ ОТКЛИК СЛУЖБЫ ПОДДЕРЖКИ Большая часть вопросов решается за 10 минут. Удобная тикет-система гарантирует, что ни один вопрос не останется без ответа. ВЫЕЗД МОБИЛЬНОЙ БРИГАДЫ РЕАГИРОВАНИЯ Криминалисты и инженеры могут выехать на место инцидента для полной нейтрализации угрозы и сбора цифровых доказательств. Круглосуточная поддержка специалистов через удобную тикет-систему КРУГЛОСУТОЧНЫЙ МОНИТОРИНГ ПОПЫТОК АТАК
  • 17.
    17 НАДЕЖНЫЙ ПАРТНЕР ДЛЯЗАЩИТЫ О нас говорят: Group-IB — одна из ведущих международных компаний по предотвращению и расследованию киберпреступлений и мошенничеств с использованием высоких технологий 1000+ 170 000+ успешных расследований по всему миру, 150 особо сложных уголовных дел инцидентов обработано круглосуточным центром реагирования CERT-GIB Официальный партнер INTERPOL и Еuropol, полицейской службы Евросоюза Рекомендована Организацией по безопасности и сотрудничеству в Европе (ОБСЕ) Threat Intelligence от Group-IB в числе лучших мировых систем мониторинга киберугроз по оценке Forrester и Gartner Одна из 7 самых влиятельных компаний в области кибербезо- пасности по версии Business Insider Лидер российского рынка исследования киберугроз Постоянный член Всемирного экономического форума
  • 18.
    facebook.com/group-ib info@group-ib.ruwww.group-ib.ru twitter.com/groupib +7 495984 33 64group-ib.ru/blog Предотвращаем и расследуем киберпреступления с 2003 года. instagram.com/group_ib t.me/group_ib