Появились хакеры, спонсируемые государствами, которые занимаются шпионажем и хищениями в отношении банков. Начались диверсии против финансовой отрасли. Сменилась тактика целевых атак на банки. Рынок криптовалют становится все более лакомым куском. Андроид - трояны становятся основной угрозой для клиентов банков. Самая массовая угроза — это фишинг…

1. Hi-Tech
Crime Trends
H2 2016 - H1 2017

2. Оценка рынка (Россия)
2
H2 2016 - H1 2017 H2 2015 - H1 2016 Изменения по отношению
к предыдущему
периоду$ 55,440,617 $ 66,862,880

3. ТРЕНД 1
Хакеры, спонсируемые государством – новая угроза
для финансовой отрасли
3
Шпионаж
Основной целью являются центральные
и системообразующие банки, третьи стороны, отвечающие
за обработку и хранение транзакционных данных
Спонсирование
агентов, оппозиции
и т.п.
Рисковые
операции
Топ
менеджмент
Использование банка для
доступа к другим банкам
VIP
клиенты
ШПИОНАЖ

4. 4
Хищения
4 февраля 2016 года из ЦБ Бангладеша
через SWIFT были отправлены более 30
запросов в Federal Reserve Bank of New York
на перевод $951 миллионов на счета
в Филиппинах, Шри-Ланке и других
азиатских странах.
Equation Group атаковали два SWIFT
Service Bureau, чтобы получить доступ
к данным о банковских операциях.
Это позволило наблюдать за
деятельностью банков Кувейта, Дубаи,
Бахрейна, Иордании, Йемена и Катара.
Lazarus успешно атаковали более 20
польских банков, скомпрометировав
сайт польского регулятора.
Lazarus атаковали банки Латинской
Америки, Юго-Восточной Азии.
Шпионаж
ТРЕНД 1
Хакеры, спонсируемые государством – новая угроза
для финансовой отрасли

5. ТРЕНД 2
Диверсии – угроза №1 для финансовой отрасли
5
Финансовая отрасль не готова к диверсиям.
При массовых атаках ущерб может быть колоссальным.
ФИНАНСОВО МОТИВИРОВАННЫЕ
АТАКУЮЩИЕ
АТАКУЮЩИЕ, СПОНСИРУЕМЫЕ
ГОСУДАРСТВАМИ
PetrWrap
Cobalt
Февраль Март Май Июнь
Уничтожение
следов атаки
Filecoder.NHK
BlackEnergy
WannaCry
Lazarus
NotPetya
BlackEnergy
2017
Точечные атаки,
запуск шифрования
«руками» с правами
администраторов домена
Массовые атаки, наносящие
максимальный урон атакуемым
компаниям
Узнайте больше
group-ib.ru/blog

6. 6
Рисковые и мошеннические
операции от имени банка
АТАКУЮЩИЕ,
СПОНСИРУЕМЫЕ
ГОСУДАРСТВАМИ
ФИНАНСОВО
МОТИВИРОВАННЫЕ
АТАКУЮЩИЕ
Торги на биржах с целью
влияния на курсы валют
Разрушение банковской
и связной инфраструктуры
Уничтожение следов
другой атаки
Монетизация неудачного
ограбления
Вымогательство
Узнайте больше
group-ib.ru/reports
ТРЕНД 2 | ПРОГНОЗ
Диверсии – угроза №1 для финансовой отрасли

7. 7
Установлен более чем
в 2 000 сетей
Havex не мог влиять
на физические процессы
Через OPC анализировал,
какое оборудование
установлено в конкретной
локации
Поиск уязвимостей
в SCADA Human machine
interfaces (HMI)
Установка трояна
на серверы с HMI
Перегрузка сети в трех
энергетических компаниях
Замена прошивок
Отключение источников
бесперебойного питания
Вывод из строя Windows
машин операторов,
включая HMI
Контроль OPC
Вызов перегрузки сети
Модули для работы
с протоколами IEC 60870-5-
101, IEC 60870-5-104, IEC
61850
Эти протоколы
используются для
удаленного управления
Remote Terminal Unit (RTU)
DoS модуль для
распределительного
устройства высокого
напряжения Siemens
SIPROTEC
HAVEX Black Energy 2 Black Energy 3 Idustroyer
2014 2014 2015 2016
Этап разведки Этап разведки Блэкаут в Украине Блэкаут в Украине
ТРЕНД 3
Энергетика – полигон для испытания кибероружия

8. 8
Экспорт
Как и обычное вооружение,
кибероружие может быть
экспортировано
Последователи
Другие проправительственные
группировки начнут
перенимать опыт атак на ICS
Тестирование
в новых условиях
Водоснабжение, транспортное
сообщение, опасное
производство
Производители
на время станут основной
целью атакующих –
как этап разведки
ТРЕНД 3 | ПРОГНОЗ
Энергетика – полигон для испытания кибероружия

9. 9
ТРЕНД 4
Целевые атаки на банки – смена тактики
Интернет
банкинг
ФИНАНСОВАЯ МОТИВАЦИЯ
Платежные
шлюзы Банкоматы SWIFT
Карточный
процессинг
POS
Некоторые банки были ограблены дважды

10. 10
Меньше внимания
SWIFT
Есть автозалив и под SWIFT,
и под АРМ КБР
Единичные случаи успешных атак
Непубличные инциденты
Опыт
гос. хакеров
Стейджеры
Разведмодули
Взломы партнеров
Атаки на сотрудников банков
Более совершенные
эксплойты и фишинг
Скрытые каналы
HTTPS
DNS
Легитимные инструменты
Безопасность мулов
Связана с карточным
процессингом
Обналичивание в другой стране
Бестелесность
Легко обходить антивирусы
Работа только в оперативной
памяти
Скрипты на PowerShell, VBS, PHP
Закрепление в системе через:
– Windows Management Instrumentation (WMI)
– Group Policy Objects (GPOs)
– Scheduled task
Карточный
процессинг
– основная цель
Менее защищен, чем SWIFT
Дешевая схема обнала
Снимается чистый кэш
Обналичивание в другой стране
ТРЕНД 4
Целевые атаки на банки – смена тактики

11. 11
Диверсия
Самый опасный результат
атак, которые будут
проводить и спонсируемые
государствами, и финансово
мотивированные атакующие
Спонсируемые
государствами
Атаки и атакующие
представляют основную
угрозу
Карточный
процессинг
станет основной целью
киберпреступников из-за
простоты и дешевизны
Новые игроки
Новые финансово
мотивированные
и проправительственные
группировки начнут
атаковать банки
Новые векторы
Интеграторы, разработчики
ПО для банков станут новой
целью атакующих и новым
вектором проникновения
в банки
Новые регионы
Больше атак
в Латинской Америке
и на Ближнем Востоке
ТРЕНД 4 | ПРОГНОЗ
Целевые атаки на банки – смена тактики

12. ТРЕНД 5
Заскриптованность – автоматизация любых атак
12
Заскриптованные шаги
– автоматизация, дающая мощный стимул к развитию
средств нападения
Вымогатели
WannaCry, NotPetya,
Uiwix, EternalRocks
Банковские трояны
Ramnit, Emotet,
Trickbot, Qbot
Майнеры
Adylkuzz
NotPetya
3 простых шага открывают ящик Пандоры
Запуск Mimikatz
Распространение с помощью штатных средств
(WMI and PsEXEC)
Параллельно – попытка запуска EternalBlue
1.
2.
3.

13. 13
Разведмодули
для быстрого сбора
данных с последующим
самоудалением
Открытый код
В публичном доступе
появятся инструменты
для получения контроля
над доменом
Целевые атаки
– один из методов
закрепления
в корпоративной сети
Рост инцидентов
с шифровальщиками,
кражей информации
и вымогательством за ее
неразглашение, хищений
денежных средств,
публичных разоблачений
Банковские
и POS трояны
повысят эффективность
атак на корпоративный
сектор за счет поиска
нужных машин в сети
ТРЕНД 5 | ПРОГНОЗ
Заскриптованность – автоматизация любых атак

14. ТРЕНД 6
Криптоиндустрия – новый стимул для киберпреступников
14
Банковские
ПК и Android трояны
перепрофилируются для атак
на пользователей криптовалют
– TrickBot, Vawtrak, Qadars, Triba,
Marcher
– направленный на клиентов
Средний доход одной группы
в месяц – более $1,5 миллионов
– направленный на сотрудников
Резко участились случаи атак
Целевые атаки
Атаки на биржи как
киберпреступниками,
так и проправительственными
хакерами
THE DAO
Эксплуатация
уязвимости в
смарт-контракте
– $60 миллионов
Parity
Etherium кошелек
Эксплуатация уязвимости
в коде
– $30 миллионов
Bitfinex
Гонконгская биржа
– $72 миллиона
Blockchain.info
Bitcoin кошелек
Перехват домена
Bitcurex
Польская биржа
– $1,5 миллиона, закрылась
вскоре после инцидента
Yapizon
Южнокорейская
биржа
– $5,3 миллиона
Июнь Июль Авг. Окт. Нояб. Апр. Июнь
Bithumb
Южнокорейская
биржа
Предположительно,
взлом персонального
компьютера сотрудника
– ”миллиарды вон”
Classic Ether Wallet
Перехват домена
с помощью социальной
инженерии
2016 2017
Фишинг

15. 15
Влияние на курс
криптовалют
Спекуляции
на волатильности дают
возможность
дополнительного заработка
Целевые атаки
будут проводиться
не только финансово
мотивированными
хакерами,
но и спонсируемыми
государствами
Хорошие новости
для банков
Владельцы банковских бот-
сетей, хакеры, проводящие
целенаправленные атаки, и
обычные фишеры переключат
внимание на криптокомпании
Фишинг
будет основной проблемой
для пользователей
криптовалют и перекроет
угрозы от троянов
Android трояны
позволят хакерам гораздо
эффективнее атаковать
пользователей
криптовалют
Рост
мошенничества
за счет старых схем,
связанных с "управлением
активами", пирамидами,
гэмблингом и т.п.
ТРЕНД 6 | ПРОГНОЗ
Криптоиндустрия – новый стимул для киберпреступников

16. ТРЕНД 7
Трояны для ПК – исход из России почти завершен
Нет новых троянов под РФ,
нет новых групп
Увеличение среднего чека
атак на юридических лиц
при снижении общего
объема ущерба
Все новые наработки сразу
же используются для атак
за рубежом
МИР
Trickbot
Sphinx 2
TinyNuke
Portal
GNAEUS
Plan2016
Corebot
Vawtrak
Dridex
Qadars
Gootkit
Panda
РОССИЯ
RTM
Buhtrap2
Proxy Adder
Ranbyus
Toplel
Jupiter
Ландшафт атак
банковских ПК троянов
Jupiter
GozNym
Quakbot
Ramnit
Retefe
Atmos
Tinba
KINS
Citadel
Zeus
Sphinx
Shifu
16
Изменение объема
хищений по отношению
к H2 2015 - H1 2016 (Россия)

17. ТРЕНД 8
Android трояны – основная угроза для клиентов банков
Тотальная автоматизация
Либо полностью автоматизированное
хищение, либо хищение «одной
кнопкой»
Трояны под SMS
банкинг
(только в России)
Трояны
с веб-фейками
(Россия)
Трояны
с веб-фейками
(мир)
Agent.SX
Flexnet
Agent.BID
Granzy
Cron
Fakeinst.FB
Opfake.A
Limebot
Honli
Asucub
Agent.BID
ApiMaps
Cron
Tiny.z
Maza-in
Alien-bot
Catelites Android Bot
Instant VBV Grabber
Easy
UfoBot
Rello
Loki
Red Alert
Vasya Bot
ExoBot
Reich
Marcher
Skunk
Abrvall
Xbot
GMbot
Spy.agent.SI
Все новые банковские Android трояны
созданы русскоговорящими разработчиками
Схемы хищений
• Хищение через SMS банкинг
• Переводы с карты на карту
• Переводы через интернет-банкинг
• Перехват доступа к мобильному банкингу
• Поддельный мобильный банкинг
• Покупки с помощью Apple Pay
17

18. ТРЕНД 9
Фишинг – самая массовая угроза с минимальным ущербом
80%
фишинга приходится
на следующие категории
финансовые сервисы
облачные хранилища
почтовые сервисы
3 : 1
соотношение количества жертв
фишинга к количеству жертв
банковских ПК и Android троянов
10 - 15%
посетителей финансовых
фишинговых сайтов
вводят на них свои данные
gmail.com 80%
yahoo.com 6%
yandex.com 5%
hotmail.com 3%
outlook.com 1%
mail.com 1%
aol.com 1%
mail.ru 1%
other 3%
Фишинговые сайты
по категориям
Адреса для сбора
логинов и паролей
18

19. 19
Android трояны
будут использоваться
для хищений у
юридических лиц
Ущерб
от фишинга
перекроет ущерб
от троянов для ПК
Домашние
роутеры
вместе с редиректами
могут стать новой точкой
роста для хищений
с банковских счетов
Редиректы
станут использоваться
чаще, чем веб-инжекты
для хищений
Банковские
ПК трояны
выживут и будут расти,
комбинируя атаки
с функциями
самораспространения
ТРЕНД 9 | ПРОГНОЗ
Фишинг – самая массовая угроза с минимальным ущербом
Ущерб
от Android троянов
в других странах,
как и в России, перекроет
ущерб от троянов для ПК

20. 20
RATAttack
RAT, написанный на Python,
использующий
защищенный канал
мессенджера Telegram
The Shadow
Brokers
Выложили множество
средств для проведения
атак
Mirai
Опубликован исходный код
IoT бота и самого мощного
ботнета
TinyNuke
Исходный код банковского
трояна для ПК выложен
в открытом доступе
Maza-in
Исходный код банковского
Android трояна выложен
автором
ТРЕНД 10
Открытый исходный код – мера поддержки киберпреступников

21. 21
Group-IB.ru/Blog
Twitter
GroupIB
Facebook
Group-IB
Telegram
Group_IB