Group-IB: рынок финансовых высокотехнологичных преступлений в России сократился на 85%
Group-IB представила глобальный отчет о высокотехнологичных преступлениях Hi-Tech Crime Trends 2019-2020. Сокращение в России ущерба от всех видов киберпреступлений с использованием вредоносных программ, направленных как напрямую на банки, так и их клиентов привело к рекордному падению рынка на 85%.
Согласно оценке Group-IB рынок высокотехнологичных преступлений в финансовой отрасли России, сократился до 510 млн рублей за период H2 2018 — H1 2019 против 3,2 млрд рублей в предыдущем периоде. На фоне исхода финансово мотивированных группировок из зоны «РУ», сокращения числа Android-троянов и групп, занимающихся фишингом, в России растет количество преступлений против клиентов банков с использованием социальной инженерии и телефонного мошенничества.
Команда Group-IB Threat Intelligence выделяет 5 групп, которые успешно проводят целевые атаки на банки и представляют реальную угрозу финансовому сектору в мире. Среди них «русскоязычная тройка» — Cobalt, Silence и MoneyTaker, а также северокорейская Lazarus (Северная Корея) и новая группа SilentCards из Кении. По-прежнему только Cobalt, Silence и MoneyTaker обладают троянами, которые позволяют управлять диспенсером банкомата и выводить деньги. При этом за исследуемый период через банкоматы атаковали только хакеры Silence, через карточный процессинг - Silence и SilentCards, через SWIFT - Lazarus (2 успешных хищения: в Индии и на Мальте на общую сумму $16 млн).
Только северокорейская APT-группа применяет метод хищения FastCash. Он стал известен в конце 2018 года, хотя впервые был использован в Азии еще в 2016 году. За всеми атаками этого типа стоит группа Lazarus. Silence снизили активность по собственным фишинговым рассылкам и начали приобретать доступ в целевые банки у других хакерских групп, в частности, у ТА505. На данный момент, SilentCards является наименее технически подготовленной среди указанных групп и пока успешно совершает целевые атаки только на банки в Африке.
В отношении российских банков Cobalt и Silence провели по одной успешной атаке за исследуемый период, MoneyTaker – две. Первые две русскоязычные группы переключили свой фокус на иностранные цели, что привело к многократному сокращению ущерба «по РУ». Согласно отчету Group-IB до 93 млн руб., то есть почти в 14 раз (!) сократились потери от целевых атак на банки в России со стороны финансово мотивированных группировок. По сравнению с прошлым периодом, средняя сумма хищения от целевых атак на банки в России упала со 118 до 31 млн руб.
По прогнозам Group-IB «русскоязычная тройка» продолжит географическую экспансию вне «РУ». Для вывода денег они будут использовать атаки на систему карточного процессинга и трояны для банкоматов. SWIFT будет намного реже попадать в фокус этих групп. Lazarus останется единственной группой, которая будет совершать хищения через SWIFT и ATM Switch. Успешные атаки на банки будут завершаться выводом инфраструктуры из строя для сокрытия следов. Предположительно SilentCards пока останется локальной группой, атакующей банки в своем регионе.
Оценивая рынок высокотехнологичных преступлений в России, эксперты Group-IB выделяют несколько сегментов, в каждом из которых фиксируется снижение. По хищениям с помощью троянов для ПК, «родиной» которых всегда была Россия, ущерб сократился на 89% и составил 62 млн руб. Русскоязычные хакеры перестали создавать новые десктопные трояны. Осталось всего две группы, которые похищают деньги в России с помощью троянов для ПК — Buhtrap2 и RTM. Активность проявляет только последняя.
Трояны под мобильные Android-устройства исчезают медленнее, но хищения с помощью этого типа вредоносного ПО также на спаде: ущерб в этом сегменте составил 110 млн. рублей, что на 43% ниже аналогичного показателя в прошлом периоде. Количество групп, использующих Android-трояны в России, сократилось с 8 до 5: при этом со сцены ушли «тяжеловесы» — трояны, на счету которых наибольшее количество мошеннических транзакций. Оставшиеся группы отказались от СМС-канала для хищений, его заменил метод перевода card2card, что привело к увеличению среднего размера хищения с 7 до 11 тысяч рублей. В целом, за истекший период 22 трояна вышли из употребления, им на смену были созданы всего 7 новых.
Ущерб от финансового фишинга в России упал на 65% до уровня 87 миллионов рублей. На общую цифру повлияло как сокращение количества активных групп, так и уменьшение «среднего чека» атаки. Снижение финансовой выгоды привело к выходу из игры 15 групп, зарабатывавших на фишинговых атаках. Активных осталось 11.
Снижение экономической эффективности от этих типов атак, вынуждает мошенников искать новые способы заработка на данных банковских карт. В итоге мошенничество с использованием приемов социальной инженерии вышло на первое место по степени распространения угрозы в России. Прежде всего, речь идет о телефонном мошенничестве — вишинге, который начиная с конца 2018 года буквально захлестнул банковский рынок. Поведенческий анализ пользовательских сессий для выявления подозрительной активности в системах ДБО по-прежнему является прерогативой крупных банков. Именно поэтому в России именно этот вид атак на клиентов банков сохранит высокую динамику.
Объем рынка кардинга за исследуемый период вырос на 33% и составил более 56 млрд руб. ($879 680 072). Количество скомпрометированных карт, выложенных на андеграундные форумы, возросло 38% с 27,1 до 43,8 млн относительно прошлого периода. Дампы (содержимое магнитных полос карт) составляют 80% рынка кардинга. За исследуемый период было обнаружено 31,2 млн дампов в продаже, что на 46% выше, чем в прошлом году. Продажа текстовых данных (номер, CVV, срок действия) тоже на подъёме, их рост составил 19%. Средняя цена на текстовые данные поднялась с $9 до 14, при этом снизилась средняя цена дампа — с $33 до $22.
Наиболее низкая цена выставляется, как правило, на скомпрометированные данные американских банков, они, в среднем, идут по $8-10 за свежие текстовые данные карты и $16-24 за дампы. Традиционно высокий прайс на карты европейский банков: $18-21 за текст, $100-120 за дамп. Российские карты остаются редкостью в крупных кардшопах, большинство из которых не работает «по РУ». Карты российских банков обычно находятся в среднем ценовом диапазоне, при этом с прошлого периода значительно выросла средняя цена за дамп – с $48 до $71 (4 500 руб.) и немного снизилась цена за текст с $15 до $12 (760 руб.). При этом максимальная цена за дамп карты российского банка в 2018 году достигала $170 (10 000 руб.), а в 2019 поднялась до отметки $500 (32 000 руб.).
Новым трендом, работающим на увеличение объема текстовых данных банковских карт в продаже стали JS-снифферы. В этом году эксперты Group-IB выявили минимум 38 разных семейств JS-снифферов, их количество растет и уже превышает число банковских троянов. По масштабам компрометации с помощью JS-снифферов первую позицию занимает США, а вторую — Великобритания. Эта угроза будет актуальна в первую очередь для стран, где не распространена система 3D Secure.
Фишинг – остается «долгоиграющим» методом о получения мошенниками текстовых данных о банковских картах пользователей. Конкуренция в этом сегменте растет: атакующие стали использовать панели для управления веб-инжектами и автозаливом, которые раньше были прерогативой банковских троянов. Разработчики фишинг-китов начали больше внимания уделять самозащите: они используют блокировку подсетей вендоров по безопасности, хостинг компаний, отдают фишинговый контент только с IP-адресов региона, где находятся их жертвы, перенаправляют на легитимные сайты, проверяют аномальные user-agent.
