Документ представляет собой анализ тенденций кибермошенничества в кредитно-финансовом секторе на основе данных 2015 года, обнаруживающий рост несанкционированных переводов. Основное внимание уделяется методам атак на банки и тенденции к целевым нападениям на операционную инфраструктуру кредитных организаций, а также описываются различные группировки киберпреступников и их методы работы. Автор подчеркивает необходимость развития мер по защите от кибератак в условиях изменяющихся угроз.

1. АНДРЕЙ ЛУЦКОВИЧ
ГЕНЕРАЛЬНЫЙ ДИРЕКТОР
ООО ФРОДЕКС
promo@frodex.ru
Актуальные тренды развития угроз
кибермошенничества в организациях
кредитно-финансовой сферы
www.frodex.ru
#CODEIB
Г. МИНСК
14 АПРЕЛЯ 2016

2. Немного статистики за 2015 год
«Изучай прошлое, если хочешь предвидеть будущее» Конфуций
#CODEIB
Г. МИНСК
14 АПРЕЛЯ 2016

3. Думаете, в стране
финансовый
кризис и воровать
нечего?
#CODEIB
Г. МИНСК
14 АПРЕЛЯ 2016

4. Статистика ЦБ РФ: динамика
инцидентов в ДБО (2014-2015)
- объем несанкционированных списаний, млн. руб.
- количество несанкционированных операций в ДБО, ед.
Источник: Банк России. Обзор о несанкционированных переводах денежных средств. 2015 год
Наблюдается
существенный
рост
#CODEIB
Г. МИНСК
14 АПРЕЛЯ 2016

5. Статистика ЦБ РФ: ДБО юр. лиц
- предотвращено, млн. руб.
- украдено, млн. руб.
Источник: Банк России. Обзор о несанкционированных переводах денежных средств. 2015 год
- количество инцидентов, ед.
#CODEIB
Г. МИНСК
14 АПРЕЛЯ 2016

6. Статистика ЦБ РФ: ДБО юр. лиц
Источник: Банк России. Обзор о несанкционированных переводах денежных средств. 2015 год
- количество инцидентов, ед.
Какие суммы пытаются украсть чаще всего
у клиентов – юридических лиц?
#CODEIB
Г. МИНСК
14 АПРЕЛЯ 2016

7. Статистика ЦБ РФ: ДБО физ. лиц
- предотвращено, млн. руб.
- украдено, млн. руб.
Источник: Банк России. Обзор о несанкционированных переводах денежных средств. 2015 год
- количество инцидентов, ед.
#CODEIB
Г. МИНСК
14 АПРЕЛЯ 2016

8. Статистика ЦБ РФ: ДБО физ. лиц
Источник: Банк России. Обзор о несанкционированных переводах денежных средств. 2015 год
- количество инцидентов, ед.
Какие суммы пытаются украсть чаще всего
у клиентов – физических лиц?
#CODEIB
Г. МИНСК
14 АПРЕЛЯ 2016

9. Статистика ЦБ РФ : итоги
Источник: Банк России. Обзор о несанкционированных переводах денежных средств. 2015 год
#CODEIB
Г. МИНСК
14 АПРЕЛЯ 2016

10. ТРЕНД 2015 ГОДА:
АТАКИ НЕ НА КЛИЕНТОВ
БАНКА, А НА БАНКИ
#CODEIB
Г. МИНСК
14 АПРЕЛЯ 2016

11. ТРЕНД 2015 ГОДА:
Банк России отмечает смешение вектора атак в сторону
кредитных организаций. Так инциденты, связанные с
целевыми атаками на операционную инфраструктуру
кредитных организаций и платежных систем, в 2015
году привели к финансовым потерям в размере более
900 млн руб.
Источник: Банк России. Обзор о несанкционированных переводах денежных средств. 2015 год
#CODEIB
Г. МИНСК
14 АПРЕЛЯ 2016

12. ГРУППИРОВКА:
Группировки киберпреступников
Anunak (Carbanak)
СПЕЦИАЛИЗАЦИЯ: заражение банкоматов и
дальнейшая кража средств,
шпионаж, целевые атаки
КОГДА: с 2013 г., продолжает
активно действовать
ОБЩИЙ УЩЕРБ: более 1 млрд. руб.
Источник: Аналитические отчеты компании Group-IB
#CODEIB
Г. МИНСК
14 АПРЕЛЯ 2016

13. ГРУППИРОВКА:
Группировки киберпреступников
Corkow (Metel)
СПЕЦИАЛИЗАЦИЯ: банки (брокерские
терминалы QUIK, TRANSAQ)
клиенты банков
(кража через ДБО)
расчетные системы
КОГДА: с 2011 г., продолжает
активно действовать
Источник: Аналитические отчеты компании Group-IB
#CODEIB
Г. МИНСК
14 АПРЕЛЯ 2016

14. ГРУППИРОВКА:
Группировки киберпреступников
Corkow (Metel)
август 2015:
атака на Объединенную
расчетную систему,
кража 500 млн. руб.
февраль 2015:
атака на банковский
торговый терминал QUIK,
ущерб около 200 млн. руб.
НАИБОЛЕЕ КРУПНЫЕ
ИНЦИДЕНТЫ:
Источник: Аналитические отчеты компании Group-IB
#CODEIB
Г. МИНСК
14 АПРЕЛЯ 2016

15. ГРУППИРОВКА:
Группировки киберпреступников
Buhtrap
СПЕЦИАЛИЗАЦИЯ: целевые атаки на банки
(кража через АРМ КБР)
клиенты банков
(кража через ДБО)
КОГДА: с 2014 г., продолжает
активно действовать
ОБЩИЙ УЩЕРБ: около 1 млрд. руб.
Источник: Аналитические отчеты компании Group-IB
#CODEIB
Г. МИНСК
14 АПРЕЛЯ 2016

16. Группировка Buhtrap: хронология
По данным FinCERT, по состоянию на 1 марта 2016 г.
подверглись атакам 19 банков, удалось предотвратить кражу
средств на общую сумму 1,5 млрд. руб.
август 2015: 1 банк, 25 млн.руб.
октябрь 2015: 1 банк, 99 млн.руб.
ноябрь 2015: 2 банка, общая сумма 75 млн.руб.
декабрь 2015: 5 банков, общая сумма 571 млн.руб.
январь 2016: 2 банка, общая сумма 240 млн.руб.
февраль 2016: 2 банка, общая сумма 859 млн.руб.
март 2016: 2 банка, общая сумма 500 млн.руб.
#CODEIB
Г. МИНСК
14 АПРЕЛЯ 2016

17. #CODEIB
Г. МИНСК
14 АПРЕЛЯ 2016

18. Атака на АРМ КБР
#CODEIB
Г. МИНСК
14 АПРЕЛЯ 2016

19. Атака на АРМ КБР
1 этап – рассылка письма
Потенциальной жертве приходит письмо с
вложением. Текст письма, как правило,
связан с деятельностью сотрудника
Вредоносный код в письме
не обнаруживается антивирусами
#CODEIB
Г. МИНСК
14 АПРЕЛЯ 2016

20. Атака на АРМ КБР
1 этап – рассылка письма
#CODEIB
Г. МИНСК
14 АПРЕЛЯ 2016

21. Атака на АРМ КБР
2 этап – запуск загрузчика
Вы все еще считаете, что
RTF-документы безопасны?
Вложение к письму представляет собой RTF-документ,
эксплуатирующий уязвимость CVE-2012-0158 (выполнение
произвольного кода из-за переполнения буфера в библиотеке
MSCOMCTL.OCX)
При открытии этого вложения автоматически запускается
загрузчик, который из сети Интернет скачивает, а затем
устанавливает специализированный троян
#CODEIB
Г. МИНСК
14 АПРЕЛЯ 2016

22. Атака на АРМ КБР
3 этап – создание локальной bot-сети
Если вылечить один компьютер,
через некоторое время он повторно
заражается от другого
Троян сканирует сеть и пытается заразить
максимальное число компьютеров.
Функционал
трояна:
кейлоггер
сборщик паролей
удаленный доступ из Интернет
подключение к другому компьютеру по RDP
уничтожение MBR-записи на жестком диске
►
►
►
►
►
#CODEIB
Г. МИНСК
14 АПРЕЛЯ 2016

23. Атака на АРМ КБР
4 этап – поиск АРМ КБР
Мошенники детально
разбираются с особенностями
работы с АРМ КБР в банке
При сканировании сети ищется не только компьютер
с АРМ КБР (он может быть полностью отключен от
сети), но и любой компьютер, где ведется работа с
файлами формата АРМ КБР.
#CODEIB
Г. МИНСК
14 АПРЕЛЯ 2016

24. Атака на АРМ КБР
5 этап – атака
Поддельные платежные поручения
попадают на АРМ КБР даже если он
отключен от сети и обмен идет
через USB Flash
В назначенный день X осуществляется атака –
платежные поручения, отправляемые в АРМ КБР, либо
модифицируются (меняется р/с получателя) без
изменения числа платежных поручений, либо
формируются дополнительные платежные поручения
(порядка 2000 штук)
#CODEIB
Г. МИНСК
14 АПРЕЛЯ 2016

25. Атака на АРМ КБР
6 этап – уничтожение следов
Администраторы банка в первую
очередь пытаются восстановить
работоспособность сети, не проверяя
платежи, отправленные через АРМ КБР
Троян имеет функционал очищения MBR-записи жесткого
диска, после которой компьютер перегружается и
становится неработоспособным.
#CODEIB
Г. МИНСК
14 АПРЕЛЯ 2016

26. КАКИЕ ПРОГНОЗЫ?
#CODEIB
Г. МИНСК
14 АПРЕЛЯ 2016

27. февраль 2016:
исходники трояна BUHTRAP
выложены в свободный доступ
#CODEIB
Г. МИНСК
14 АПРЕЛЯ 2016

28. Теперь каждый школьник
может взломать банк!
#CODEIB
Г. МИНСК
14 АПРЕЛЯ 2016

29. Ускорение развития
инструментов, через
публикацию исходных
кодов – устойчивый тренд!
#CODEIB
Г. МИНСК
14 АПРЕЛЯ 2016

30. #CODEIB
Г. МИНСК
14 АПРЕЛЯ 2016
28 марта 2011 г. – раскрыты
исходники трояна Zeus
огромное число
модификаций Zeus,
№1 по числу преступлений

31. #CODEIB
Г. МИНСК
14 АПРЕЛЯ 2016
28 марта 2011 г. – раскрыты
исходники трояна Zeus
24 июня 2013 г. – раскрыты
исходники трояна Carberp
огромное число
модификаций Zeus,
№1 по числу преступлений

32. #CODEIB
Г. МИНСК
14 АПРЕЛЯ 2016
28 марта 2011 г. – раскрыты
исходники трояна Zeus
24 июня 2013 г. – раскрыты
исходники трояна Carberp
10 июля 2014 г. – раскрыты
исходники TinyBanker
27 мая 2014 г. – новый
троян Zberpогромное число
модификаций Zeus,
№1 по числу преступлений
19 августа 2014 г. – раскрыты
исходники Dendroid
11 июля 2014 – новый
троян Kronos
4 июня 2014 г.
самый популярный rootkit
Root.Boot.Cidox
11 июня 2014 – новый
троян Pandemiya

33. #CODEIB
Г. МИНСК
14 АПРЕЛЯ 2016
28 марта 2011 г. – раскрыты
исходники трояна Zeus
24 июня 2013 г. – раскрыты
исходники трояна Carberp
10 июля 2014 г. – раскрыты
исходники TinyBanker
27 мая 2014 г. – новый
троян Zberpогромное число
модификаций Zeus,
№1 по числу преступлений
19 августа 2014 г. – раскрыты
исходники Dendroid
11 июля 2014 – новый
троян Kronos 4 июня 2014 г.
самый популярный rootkit
Root.Boot.Cidox11 июня 2014 – новый
троян Pandemiya
?
?
?
?
?
?

34. #CODEIB
Г. МИНСК
14 АПРЕЛЯ 2016
НОВАЯ РЕАЛЬНОСТЬ – СЕТЬ БАНКА НЕ ДОВЕРЕННАЯ СРЕДА
• отказ от традиционности мышления (внутренняя, внешняя сеть)
• отсутствие знания и понимания того, что сейчас происходит
– путь к провалу
• план действий на случай пожара есть, а на случай атаки нет

35. #CODEIB
Г. МИНСК
14 АПРЕЛЯ 2016
Реинкарнация вирусных технологий,
отработанных на клиентах банка!
СМЕНА ЦЕЛИ: ОТ КЛИЕНТОВ К БАНКУ

36. #CODEIB
Г. МИНСК
14 АПРЕЛЯ 2016
Звонок в БАНК – по очень важному делу!
• отправка в одной сессии несколько платежей – как на
«подтвержденных» получателей, так и на мошенников
• звонок в банк, от имени клиента, на повышенных тонах
требование не задерживать платежи, «новый» номер телефона
для связи.
• обратный звонок по срабатыванию системы антифрода по
«новому» телефону -платежи подтверждают как созданные
клиентом.
РИСК - ДЕЛО БЛАГОРОДНОЕ!

37. #CODEIB
Г. МИНСК
14 АПРЕЛЯ 2016
Насколько полезен межбанковский обмен
информацией о реквизитах получателей - мошенников?
Повторяемость мошеннического платежа на дропера
довольно большая, хотя большинство мошеннических
платежей идут на неизвестных получателей
Зафиксирован даже мошеннический платеж, информация
о получателе – мошеннике которого пришла 3 года назад
НАБЛЮДАЕТСЯ ПОВТОРЯЕМОСТЬ!

38. #CODEIB
Г. МИНСК
14 АПРЕЛЯ 2016
Данные подготовлены по результатам расследований компанией Фродекс реальных инцидентов
НОВИЧКИ РАБОТЯГИ ПРОФИ
появились летом 2014 года «работают» с 2013 года «работают» с 2013 года
1. работают с «левых» IP
2. мало опыта работы в
интерфейсе ДБО
1. работа в proxy-режиме
2. проброс USB-портов
Работа в режиме удаленного
управления компьютером
жертвы

39. #CODEIB
Г. МИНСК
14 АПРЕЛЯ 2016
ВСЕ МОШЕННИЧЕСКИЕ ПЛАТЕЖИ СОЗДАНЫ ВРУЧНУЮ!

40. СПАСИБО ЗА ВНИМАНИЕ!
АНДРЕЙ ЛУЦКОВИЧ
ООО ФРОДЕКС,
ГЕНЕРАЛЬНЫЙ ДИРЕКТОР
promo@frodex.ru
www.frodex.ru
#CODEIB
Г. МИНСК
14 АПРЕЛЯ 2016