Специалисты Group-IB представили доклад, посвященный главным тенденциям компьютерных преступлений в период пандемии COVID-19. Доклад был представлен в рамках международного форума Академии Управления МВД РФ «Стратегическое развитие системы МВД России: состояние, тенденции, перспективы».
Последствия пандемии коронавируса, перевод сотрудников на удаленный режим работы, сокращение персонала и финансовый кризис вызвали стремительный рост компьютерной преступности. По оценкам аналитиков Group-IB, в первую очередь, выросло число финансовых мошенничеств с использованием методов социальной инженерии. Так, за период с января по июнь 2020 года, по данным МВД, рост киберпреступности составил 91,7% по сравнению с аналогичным периодом прошлого года. При этом число «классических преступлений» снижалось: уличных разбоев стало меньше на 23,6%, грабежей — на 20,7%, краж — на 19,6%, угонов машин — на 28,7%.
Одной из главных тенденций в МВД называют развитие дистанционных способов совершения преступлений, при которых отсутствует физический контакт между злоумышленниками и их жертвами — преступления ушли из офлайна в онлайн. Например, если до 2014 года сбыт наркотиков производился преимущественно «из рук в руки», то в наши дни наркторговцы стали чаще использовать исключительно электронные торговые площадки в даркнете, принимающие оплату в криптовалюте.
Практически 70% зарегистрированных преступлений, связанных с незаконным оборотом оружия в 2020 году тоже совершалось с использованием интернета — дистанционно и анонимно. То же самое касается, незаконного сбыта поддельных денег, ценных бумаг и документов.
На протяжении всего 2020 года аналитики Group-IB фиксировали рост числа финансовых мошенничеств с использованием социальной инженерии — вишинга, фишинга — жертвами которых становились, в основном, клиенты банков. Суммарно за девять месяцев 2020 года CERT-GIB заблокировал 14 802 фишинговых ресурса, нацеленных на хищение денег и персональной информации посетителей сайтов (логины, пароли от аккаунтов и интернет-банков, данные банковских карт). Это больше, чем за прошлый год, когда были заблокированы 14 093 таких веб-ресурсов.
В Академии Управления МВД отмечают, что наиболее распространенным механизмом дистанционного мошенничества является традиционный звонок от «службы безопасности банка» якобы по поводу несанкционированной транзакции или взлома личного кабинета. При этом телефонные мошенники активно использовали технологии, связанные с подменой номеров и SIP-телефонией. При использовании анонимайзеров установить реальный IP-адрес злоумышленника весьма затруднительно.
Также в последнее время появилось много сервисов «по пробиву» клиентов банков, построенных на комбинировании методов OSINT и инсайдерского доступа к различным базам данных, что увеличило объем информации о потенциальных жертвах, доступной для злоумышленников, и привело к увеличению количества атак.
При этом сами схемы реализации мошенничества фактически не изменились. Основной мотив киберпреступников — прежний: кража денег или информации, которую можно продать, но они приобрели новую «упаковку», адаптированную под актуальную повестку. Это продажа фейковых цифровых пропусков, рассылка сообщений о штрафах за нарушение карантина, липовые сайты курьерских служб, мошеннические рассылки от имени сервиса видеоконференций Zoom.
«На протяжении всего 2020 года Group-IB наблюдала активный набор в преступные мошеннические сообщества. Порог входа существенно снизился: новых участников привлекают через Telegram-каналы и хакерские форумы с последующим обучением, и вступительными бонусами. В „серой зоне“ тоже быстро подстроились под требования рынка, так „билетная мафия“ переориентировала свои ресурсы на доставку продуктов питания и лекарств по завышенным ценам», — говорит Андрей Колмаков, руководитель департамента расследований инцидентов информационной безопасности Group-IB.
По словам эксперта, активно развивался и рынок криминальных услуг cybercrime-as-a-service, связанных со сдачей в аренду компьютерных сетей, зараженных малварью (ботнетов) и используемых, например, при организации DDoS-атак, рассылке фишинговых писем и предоставлении proxy-серверов. Так же как и предложения по взлому мессенджеров и соцсетей, эти услуги рекламируются в Telegram и на хакерских форумах.
Отчет гласит, что в период пандемии электронная почта по-прежнему оставалась одним из основных векторов атак.
«Злоумышленники адресно атаковали переведенных на удаленку сотрудников, заражая их компьютеры вредоносными программами, через которые затем получали доступ в корпоративную сеть. Чаще всего перехваченные вредоносные рассылки, замаскированные в том числе и под сообщения о COVID-19, несли на борту вложения с программами-шпионами или ссылки, ведущие на их скачивание, бэкдоры и загрузчики, которые впоследствии использовались для установки других вредоносных программ, в том числе банковских троянов или вирусов-шифровальщиков», — рассказывает Валерий Баулин, руководитель Лаборатории компьютерной криминалистики Group-IB.
Популярность последних — не случайна, пишут эксперты. В 2020 году подавляющее большинство преступных групп переключилось на работу с -шифровальщиками — злоумышленники поняли, что с их помощью можно заработать не меньше, чем в случае успешной атаки на банк, а техническое исполнение — значительно проще.
Текущий год дал жизнь еще большему количеству групп и партнерских программ, а также новым коллаборациям. Так операторы банковского трояна QakBot присоединились к «охоте за крупной дичью» (Big Game Hunting — атаки на крупные компании с целью получения значительного выкупа), воспользовавшись помощью вымогателя ProLock, а еще недавно активно атаковавшая банки и отели группа FIN7 присоединилась к партнерской программе вымогателя REvil.
Размер выкупа при таких атаках так же значительно увеличился: операторы криптолокеров нередко требуют у жертв несколько миллионов долларов, а иногда — и несколько десятков миллионов.