Group-IB
Компания Group-IB на конференции CyberCrimeCon18 представила отчет об ущербе российского финансового сектора в период с июля 2017 г. по июнь 2018-го. Объем ущерба за этот период составил 2,96 млрд руб., что на 37% меньше аналогичного показателя предыдущего периода.
Так, больше всего средств было выведено путем целевых атак на российские банки — 1,304 млрд руб. (снижение показателя на 20%). Через онлайн-банкинг у организаций было украдено 547,8 млн руб. (снижение на 12%). Злоумышленникам в отчетном периоде удалось обналичить 919,544 млн руб. (снижение показателя на 34%). По данным компании, ежемесячно в результате кибератак в России теряют деньги 1-2 банка, и ущерб от одного успешного хищения составляет в среднем 2 млн долл.
Посредством фишинга за отчетный период было выведено 250,992 млн руб. (рост на 6%). Общее количество ежедневных успешных фишинговых атак выросло до 1,274 тысячи (ранее 950). Средняя сумма одного хищения с помощью фишинга составляет около 1 тыс. руб. По оценкам Group-IB, количество групп, которые создают фишинговые сайты под российские бренды, выросло с 15 до 26.
Ущерб от Android-троянов составил 191,73 млн руб., что на 77% меньше, чем в июле 2016 г. — июне 2017 г. Средний размер хищений снизился с 11 до 7 тыс. руб.
По оценкам Group-IB, количество целенаправленных атак на банки с целью хищения через SWIFT за отчетный период увеличилось в три раза. Если за прошлый период было зафиксировано всего три подобных атаки: в Гонконге, на Украине и в Турции, то в этом прошло уже девять успешных атак — в Непале, Тайване, России, Мексике, Индии, Болгарии и Чили.
В целом аналитики компании выделяют четыре преступных хакерских группы, представляющих реальную угрозу для финансового сектора, — Cobalt, MoneyTaker, Silence, состоящих из русскоговорящих хакеров, а также северокорейская Lazarus. По данным экспертов, эти группировки способны не только проникнуть в сеть банка, добраться до изолированных финансовых систем, но и успешно вывести деньги через SWIFT, АРМ КБР, карточный процессинг и банкоматы.
Для системы межбанковских переводов SWIFT представляют угрозу только две преступные группы: Lazarus и Cobalt, причем последняя в конце 2017 г. впервые в истории российской финансовой сферы провела успешную целевую атаку на банк с использованием SWIFT. Хорошая новость в том, что в случае со SWIFT большую часть несанкционированных транзакций удается вовремя остановить и вернуть пострадавшим банкам.
Выводом денег через АРМ КБР (автоматизированное рабочее место клиента Банка России) активно пользуется группа MoneyTaker: если в ноябре 2017 г. им удалось вывести всего 7 млн руб., то уже летом 2018 г. они успешно похитили из ПИР-банка 58 млн руб. Напомним, что на счету MoneyTaker 16 атак в США, 5 – на банки России и 1 – в Великобритании. В США средний ущерб от одной атаки составляет 500 тыс. долл. В России средний объем выведенных средств – 72 млн руб.
Атаки на платежные шлюзы за обозначенный период проводила только группа Cobalt. При этом в 2017 г. они похитили таким образом деньги у двух компаний, а в 2018 г. не сделали ни одной попытки. При этом помощь в проведении одной из атак им оказывали участники из группы Anunak, которая не проводила подобных атак с 2014 г.
Несмотря на арест в Испании лидера группы весной 2018 г., Cobalt по-прежнему остается одной из самых активных и агрессивных группировок, стабильно - 2-3 раза в месяц - атакуя финансовые организации в России и за рубежом.