Исследователи Group-IB провели исследование утечек учетных данных пользователей криптовалютных бирж и проанализировали характер этих инцидентов. Оказалось, что за год количество утечек увеличилось на 369%.
В 2017 году, одновременно с резким увеличением интереса к криптовалютам, рекордным показателями их капитализации и взлетом курса биткоина, произошли десятки атак на криптовалютные сервисы. В итоге в 2017 году, по данным совместного исследования аналитиков компаний EY и Group-IB, киберпреступникам удалось украсть 10% всех средств, инвестированных в ICO через Ethereum, а общий ущерб от атак хакеров на ICO проекты составил почти 400 млн долларов. Например, только в результате взлома биржи Coincheck в январе 2018 года была похищена рекордная сумма в 533 миллиона долларов.
На основе данных, полученных из системы Group-IB Threat Intelligence, эксперты Group-IB проанализировали кражу 720 пользовательских учетных записей (логинов и паролей) 19 крупнейших криптовалютных бирж. Скомпрометированные учетные записи относятся к следующим сервисам: Binance, Bit-z, Bitfinex, Bithumb, Bitstamp, Bittrex, BTCC, CEX.io, Coinone, Gate.io, GDAX, Gemini, HitBTC, Huobi, Kraken, KuCoin, OKEx, Poloniex, Wex.nz.
Исследование показало, что наибольшее число скомпрометированных учетных записей в данной выборке пришлось на биржи Poloniex – 174 учетных записи, Bittrex – 111, CEX.io – 95, HitBTC - 83, Kraken - 61. Эксперты полагают, что Такое распределение, вероятнее всего, связано с популярностью данных торговых площадок среди инвесторов и в интернете в целом, что привлекло внимание мошенников.
В целом в настоящее время наблюдается устойчивый рост числа скомпрометированных учетных записей пользователей криптовалютных бирж. С 2016 по 2017 год их количество увеличилось на 369%.
Антирекорд продемонстрировал и первый месяц 2018 года: из-за повышенного интереса к криптовалютам и блокчейн-индустрии количество инцидентов в январе выросло на 689% по сравнению со среднемесячным показателем 2017 года. Так, по данным Google Trends, интерес к криптовалютам достиг максимального значения именно в конце 2017 года.
При этом США, Россия и Китай — это три страны, в которых зарегистрированные пользователи чаще других становились жертвами кибератак. Так, исследование показало, что каждый третий пострадавший находится в США.
Исследователи Group-IB пишут, что им удалось выявить 50 активных ботнетов, задействованных для кибератак на пользователей криптовалютных бирж. Инфраструктура киберпреступников в основном базируется в США (56,1%), Нидерландах (21,5%), Украине (4,3%) и России (3,2%).
Число используемых хакерами вредоносных программ постоянно увеличивается, а сами инструменты — постоянно модифицируются. Среди наиболее «популярных» вредоносных программ — трояны AZORult и Pony Formgrabber, а также бот Qbot. При этом, злоумышленники продолжают брать на вооружение инструменты, ранее предназначавшиеся для атак на банки, и теперь успешно используют их для взлома криптобирж, кошельков и получения доступа к личным данным пользователей.
Отчет специалистов гласит, что первая и основная причина столь прискорбного положения вещей в данной сфере: игнорирование двухфакторной аутентификации, как пользователями, так и самими биржами. Согласно исследованию, проведенному Кембриджским центром альтернативного финансирования, 75% бирж предоставляют опциональную 2ФА для входа пользователей в свои аккаунты, но лишь 23% считают ее обязательной.
Только у 35% сервисов для проведения всех торговых операций обязательным условием является использование 2ФА и 11% обязуют своих пользователей использовать ее для вывода средств. Таким образом, меньше половины бирж считают активацию 2ФА обязательной минимальной мерой для предотвращения несанкционированного доступа к функциональным возможностям аккаунта, и большая часть предоставляет ее лишь в опциональном формате.
Вторая причина — пренебрежение элементарными правилами безопасности, такими как использование сложных и, главное, уникальных паролей для различных сервисов. Так, анализ выборки Group-IB, состоящей из 720 учетных записей, показал, что каждый пятый пользователь считал достаточным пароль короче 8 символов. Также было обнаружено, что нередко один и тот же пароль использовался для доступа к аккаунтам на различных биржах.
Эксперты Group-IB делают неутешительные выводы: на данный момент ни одна криптовалютная биржа, независимо от масштабов и длительности операционной истории, не обеспечивает абсолютную безопасность своим пользователям. По меньшей мере пять из 19 проанализированных бирж стали жертвами целенаправленных хакерских атак (Bitfinex, Bithumb, Bitstamp, HitBTC, Poloniex и, вероятно, Huobi). Причины взломов были самые разные: ошибки в исходном коде, фишинговые атаки, несанкционированный доступ к базе данных пользователей, уязвимости при хранении и выводе средств. Однако все они являлись следствием недостаточного внимания к информационной безопасности и защите цифровых активов.
«Волнообразная активизация мошенников и повышенное внимание хакерских группировок к криптоиндустрии, модификация вредоносных программ под криптовалюты, а также значительные объемы украденных средств, — все это сигнализирует о том, что рассматриваемая отрасль еще не готова защищать себя и своих пользователей. Таким образом, предположительно в 2018 году количество инцидентов будет увеличиваться. Такая ситуация требует оперативной и эффективной реакции всех заинтересованных сторон, включая экспертов из разных областей», — пишет Руслан Юсуфов, директор департамента специальных проектов Group-IB.
