На форуме CyberCrimeCon 2021 представлены итоги деятельности глобальной киберпреступности и кибершпионов второй половины 2020 г. - первой половины 2021 г. Главные выводы заключаются в том, что активно идет сращивание киберкриминальных групп в рамках поставленных на поток партнерских программ. Их используют шифровальщики, продавцы доступов в скомпрометированные сети, мошенники, занимающиеся фишингом и скамом. Эти альянсы приводят к эскалации угроз и росту количества жертв.

© ComNews
06.12.2021

В онлайн-режиме прошла юбилейная, десятая по счету конференция CyberCrimeCon 2021. На ней традиционно обсуждались данные о последних тенденциях в деятельности киберпреступников и кибершпионов с одной стороны, и с другой - лучшие практики противодействия злонамеренной деятельности в киберпространстве.

Открывая форум, генеральный директор Group-IB Дмитрий Волков назвал киберпреступность одним из важнейших факторов, замедляющих рост экономики. Поэтому компания придерживается нулевой толерантности к любым проявлениям киберкриминала, кто бы ни стоял за той или иной группировкой.

Также Дмитрий Волков представил данные отчета Hi-Tech Crime Trends. Главной тенденцией второй половины 2020 г. - первого полугодия 2021 г. стало широкое развитие партнерских программ, которые объединяли разработчиков программ-вымогателей и продавцов доступа в скомпрометированные сети. Несмотря на то что количество таких программ выросло на 19%, количество атак росло намного быстрее за счет снижения порога входа на этот рынок. К примеру, в России количество атак выросло на 200%.

При этом продажа прав доступа в скомпрометированные сети выросла в четыре раза. В Group-IB зафиксировали 1335 инцидентов. Наиболее активно использовались такие инструменты, как применение уязвимостей удаленного доступа, фишинг и эксплуатация разного рода уязвимостей. Самой агрессивной группой стала Conti, выложившая данные 361 компании-жертвы, что составляет 16,5% в общем объеме. За ней идет Lockbit (251 жертва), Avaddon (164), REvil (155) и Pysa (118). В прошлом году топ-5 выглядел иначе: Maze (259), Egregor (204), Conti (173), REvil (141) и Pysa (123).

Дмитрий Волков обратил внимание, что на треть выросло количество веб-сайтов, ориентированных на продажу украденных данных. Скорее всего, это связано с тем, что злоумышленники активно диверсифицируют модели монетизации на тот случай, если жертвы откажутся платить выкуп.

Кражи реквизитов платежных карт несколько снизились. Объем данного рынка уменьшился с $1,4 млрд до $1 млрд. Но кардинг остается одним из видов киберпреступности. Основной технологической тенденцией тут является переход с троянских программ для ПК на приложения для мобильных платформ, прежде всего Android. Но основным методом кражи является использование JavaScript-снифферов со слабо защищенных интернет-магазинов, которые спешно открыты во время пандемии. Значительный рост демонстрирует использование фейковых платежных систем. Только в России фиксируется до 1400 транзакций в день.

Основным инструментом автоматизации работы партнерских программ стал мессенджер "Телеграм". С его помощью стало возможным создавать индивидуальные инструменты для атак, которые намного сложнее выявить. Не исключено, что киберпреступники возьмут на вооружение и другие мессенджеры.

Также Дмитрий Волков увидел рост агрессивности военных операций в киберпространстве. Это проявляется и в том, что в ходе диверсионных операций часто атакуется коммунальная инфраструктура, что имело место в секторе Газа, Индии, Иране и США.

Директор по расследованию киберпреступлений Интерпола Крейг Джонс признал, что в цифровом пространстве правоохранительные органы малоэффективны. Это связано с тем, что киберпреступность все больше глобализируется, тогда как деятельность правоохранительных органов ограничивается их странами, а международная координация их деятельности серьезно затруднена.

Также Крейг Джонс призвал активнее использовать методы государственно-частного партнерства. Там, где в расследованиях участвуют представители финансового сектора, телеком-операторов и вендоров ИБ-инструментов, вероятность успешного результата расследования намного выше.

Для профилактики киберпреступлений наиболее эффективными средствами являются просвещение и использование концепции нулевого доверия. ИТ-инфраструктуре доверять нельзя, поскольку она содержит уязвимости, которые злоумышленники успешно научились эксплуатировать. Тут необходимо использовать верификацию доступа ко всем ресурсам и применять средства поведенческого анализа.

Руководитель отдела AP Termina Европейского центра по борьбе с киберпреступностью (EC3) Европола Хорхе Розаль Косано рассказал о ходе успешной операции Carding Action, в которой участвовали правоохранительные органы восьми стран. В итоге удалось предотвратить кражу 40 млн евро у 90 тыс. человек и компаний. Также в ходе этой операции удалось идентифицировать, какие именно карты скомпрометированы, их держатели были уведомлены, что также позволило снизить ущерб от деятельности злоумышленников. Как показали результаты расследования, основным каналом утечки платежных данных стали снифферы.

Новости из связанных рубрик