Технический директор и сооснователь Group-IB Дмитрий Волков представил отчет о тенденциях высокотехнологичных преступлений. Первая из них заключается в том, что большая часть злоумышленников стремится использовать легальные, общедоступные инструменты. В то же время (и это вторая тенденция) государство привлекает для защиты частные компании, у которых нет сложных, продвинутых инструментов, они пользуется теми же открытыми источниками, что и злоумышленники. Третья – нападение на домашние устройства, которым киберпреступники стали отдавать приоритет перед корпоративными сетями. Домашние устройства, по словам Волкова, дают о своих владельцах то же самое представление, но позволяют лучше закрепиться в сети и предоставляют больший охват информации (устройств может быть несколько).
Если говорить о регионах, то Азиатско-Тихоокеанский регион больше всех подвергается атакам, потому что хакеры чаще всего находятся именно там, выяснили в Group-IB. При этом, отметил Волков, высокотехнологичными инструментами, как правило, располагают не в развивающихся странах, а в спецслужбах развитых, «которые имеют больше технических ресурсов, больше возможностей и более серьезную мотивацию». Это создает проблему, потому в публичном доступе, получается, есть информация о самых примитивных угрозах, но о высокотехнологичных – нет, и бороться с ними сложнее. Еще одна проблема региона заключается в том, что те компании, которые реально могли бы противостоять серьезным угрозам, большей частью находятся в развитых странах.
Шпионаж – основная цель прогосударственных хакеров. Растет их и интерес к саботажу, для которого используются самораспространяющиеся программы-вымогатели. Следует ожидать, что целью атак злоумышленников будут сетевое оборудование, материнские платы и поставщики аппаратного обеспечения для госорганов, прогнозирует Group-IB. Отдельно с точки зрения обеспечения безопасности надо рассматривать частные дома и обычные квартиры, небольшая и незащищенная инфраструктура которых довольна уязвима.
Криптовалюты
Волков перечислил здесь несколько угроз. В первую очередь это влияние на обменный курс малоизвестных криптовалют. С ним связана «атака 51%», которая при захвате половины мощности системы позволяет изменить блокчейн нужным злоумышленнику образом: заблокировать переводы, удалить участников и т.п. Это влияет не только на курс, но и на стабильность всей системы. Как и в финансовой сфере в целом, растет число целевых атак, в данном случае – на криптобиржи. Основными целями киберперступников будут крупные криптомайнеры и ICO, ожидают в Group-IB.
Финансовая сфера
С 2016 года роста деятельности у преступников, которые занимаются хищениями денежных средств, практически нет. Причиной является то, что в России больше не используются банковские трояны (остались для Android), которые заражают компьютеры физических лиц, чтобы воровать деньги. Есть три вируса для юридических лиц. В мире в целом данные вирусы еще остались, но глобальной угрозы они не представляют.
Самый большой ущерб финансовой сфере могут нанести целенаправленные атаки. Наиболее активными группировками являются Cobalt, Moneytaker, Silence, Lazarus, Blackenergy. Межбанковские переводы, как видят это банки, наиболее уязвимы. Реальную угрозу здесь представляют Cobalt и Lazarus. Еще одним уязвимым процессом является работа с картами, по мнению Group-IB, это даже основная проблема. Картами интересуются все группировки, кроме Blackenergy.
Отдельный интерес для хакеров представляют банкоматы: все группировки разработали для них специальные трояны. Наиболее опасной группой является Cobalt, за ней следом идет Silence. Волков прогнозирует, что будут формироваться новые группы, возглавляемые участниками старых. Изменится вектор их интересов. Сейчас это главным образом корпоративная почта, потом внимание переключится на другие элементы корпоративной сети, что представляет большую угрозу, поскольку обнаружить заражения будет сложнее. Вирусы будут замаскированы под легальные банковские приложения или контекстную рекламу. Атаки станут комбинированными: выводить деньги начнут не только отдельно с карт или банкоматов, но одновременно по всем каналам.
В целом количество нападений в финансовой сфере в будущем году будет снижаться, однако число именно целевых атак увеличится. Фишинг останется одной из основных угроз.
