Одними из неожиданных эффектов пандемии стали снижение в России «классической» преступности и резкий рост киберпреступлений. Это следует из доклада Group-IB, представленного на международном форуме Академии Управления МВД РФ «Стратегическое развитие системы МВД России: состояние, тенденции, перспективы».
Главным выводом исследования назван стремительный рост компьютерной преступности, в первую очередь, финансовых мошенничеств с использованием социальной инженерии, а также эксплуатация темы COVID-19 во вредоносных рассылках, переключение операторов вирусов-шифровальщиков на крупные цели, а также активный рекрутинг в преступные сообщества новых участников.
Фото: Sk.ru.
Эти выводы в целом подтверждает и статистика МВД, которая приводится в сообщении сколковской компании, поступившем в редакцию Sk.ru: за январь-июнь рост киберпреступности составил 91,7% по сравнению с аналогичным периодом прошлого года. При этом число «классических» преступлений снижалось: уличных разбоев стало меньше на 23,6%, грабежей — на 20,7%, краж — на 19,6%, угонов машин — на 28,7%.
Одной из главных тенденций цифровой трансформации в Академии Управления МВД называют развитие дистанционных способов совершения преступлений, при которых отсутствует физический контакт между злоумышленниками и их жертвами — преступления ушли из офлайна в онлайн. Например, если до 2014 года сбыт наркотиков происходил «из рук в руки», то с развитием цифровых технологий наркоторговцы стали использовать исключительно электронные торговые площадки в даркнете, принимающие оплату в криптовалюте. Практически 70% зарегистрированных преступлений, связанных с незаконным оборотом оружия, в 2020 году совершалось с использованием Интернета — дистанционно и анонимно. Тоже самое касается незаконного сбыта поддельных денег, ценных бумаг и документов.
На протяжении всего 2020 года Group-IB фиксировала рост числа финансовых мошенничеств с использованием социальной инженерии — вишинга, фишинга — жертвами которых становились, в основном, клиенты банков. Суммарно за 9 месяцев 2020 года CERT-GIB заблокировал 14 802 фишинговых ресурса, нацеленных на хищение денег и персональной информации посетителей сайтов (логины, пароли от аккаунтов и интернет-банков, данные банковских карт). Это больше, чем за прошлый год, когда были заблокированы 14 093 таких веб-ресурсов.
В Академии Управления МВД отмечают, что наиболее распространенным механизмом дистанционного мошенничества с применением техники социальной инженерии является традиционный звонок от «службы безопасности банка» якобы по поводу несанкционированной транзакции или взлома личного кабинета. При этом телефонные мошенники активно использовали технологии, связанные с подменой номеров и SIP-телефонией — звонками через интернет. При использовании анонимайзеров установить реальный IP-адрес злоумышленника довольно затруднительно. Появление в последнее время сервисов “по пробиву” клиентов банков, построенных на комбинировании методов OSINT и инсайдерского доступа к различным базам данных, увеличило объем информации о потенциальных жертвах, доступной для злоумышленников, и привело к увеличению количества атак.
При этом сами схемы реализации мошенничества фактически не изменились. Основной мотив киберпреступников — прежний: кража денег или информации, которую можно продать, но они приобрели новую “упаковку”, адаптированную под актуальную повестку. Это продажа фейковых цифровых пропусков, рассылка сообщений о штрафах за нарушение карантина, липовые сайты курьерских служб, мошеннические рассылки от имени сервиса видеоконференций Zoom.
«В течение всего 2020 года Group-IB наблюдала активный набор в преступные мошеннические сообщества, — говорит Андрей Колмаков, руководитель департамента расследований инцидентов информационной безопасности Group-IB. — Порог входа существенно снизился: новых участников привлекают через Telegram-каналы и хакерские форумы с последующим обучением, и вступительными бонусами. В “серой зоне” тоже быстро подстроились под требования рынка, так «билетная мафия» переориентировала свои ресурсы на доставку продуктов питания и лекарств по завышенным ценам».
По словам эксперта, активно развивался и рынок криминальных услуг cybercrime-as-a-service, связанных со сдачей в аренду компьютерных сетей, зараженных вредоносным программным обеспечением (ботнетов) и используемых, например, при организации DDoS-атак, рассылке фишинговых писем и предоставлении proxy-серверов. Так же, как предложения по взлому мессенджеров и соцсетей, эти услуги рекламируются в Telegram и на хакерских форумах.
В период пандемии электронная почта по-прежнему оставалась одним из основных векторов атак.
«Злоумышленники адресно атаковали переведенных на удаленку сотрудников, заражая их компьютеры вредоносными программами, через которые затем получали доступ в корпоративную сеть, — замечает Валерий Баулин, руководитель Лаборатории компьютерной криминалистики Group-IB. — Чаще всего перехваченные вредоносные рассылки, замаскированные, в том числе, и под сообщения о COVID-19, несли вложения с программами-шпионами или ссылки, ведущие на их скачивание, бэкдоры и загрузчики, которые впоследствии использовались для установки других вредоносных программ, в том числе банковских троянов или вирусов-шифровальщиков".
Популярность последних не случайна. В 2020 году подавляющее большинство преступных групп переключилось на работу с программами-шифровальщиками — злоумышленники поняли, что с их помощью можно заработать не меньше, чем в случае успешной атаки на банк, а техническое исполнение — значительно проще.
Нынешний год дал жизнь еще большему количеству групп и партнерских программ, а также новым коллаборациям. Так операторы банковского трояна QakBot присоединились к т.н. охоте на крупную дичь (Big Game Hunting), воспользовавшись помощью криптолокера ProLock, а еще недавно активно атаковавшая банки и отели группа FIN7 присоединилась к партнерской программе вымогателя REvil. Размер выкупа также значительно увеличился: операторы криптолокеров нередко просят несколько миллионов долларов, а иногда — и несколько десятков миллионов. Несмотря на негласный запрет у киберпреступников «работать по РУ», обнаруженная в 2020 году Group-IB группа OldGremlin, состоящая из русскоязычных хакеров, активно атакует исключительно российские компании — банки, промышленные предприятия, медицинские организации и разработчиков софта.