Rambler's Top100
 
 
Все новости Новости отрасли

Криптовалюта привлекает хакеров

11 октября 2017

Суммарный ущерб от целевых хакерских атак на криптоиндустрию составил более $168 млн, а доход от атак на криптобиржи варьируется от $1,5 (Bitcurex) до $72 млн (Bitfinex), в то время как в результате успешной атаки на банк преступники в среднем зарабатывают всего $1,5 млн.

По данным годового отчета Hi-Tech Crime Trends 2017, представленного компаний Group-IB на ежегодной конференции CyberCrimeCon, хакеры переключают свое внимание с банков на криптоиндустрию (ICO, кошельки, биржи, фонды), где аккумулируется все больше денег. Атаки на такие компании с точки зрения технической реализации не сложнее атак на банки, в то время как уровень зрелости ИБ в блокчейн-компаниях гораздо ниже. В то же время особенности блокчейн-технологий способствуют анонимности и значительно снижают риск быть пойманным при обналичивании.

Взломы криптовалютных бирж проводятся по той же схеме, что и целенаправленные атаки на банки: используются схожие, а иногда и идентичные инструменты, а также похожие тактики. Например, злоумышленники получают SIM-карты по поддельным документам для восстановления паролей и получения контроля над счетом в криптовалютных сервисах.

Злоумышленники «перенастраивают» популярные банковские трояны, такие как TrickBot, Vawtrak, Qadars, Tinba, Marcher, для сбора логинов и паролей пользователей криптовалют. Это говорит о том, что преступники нашли для себя новую прибыльную нишу, и в ближайшее время можно ожидать снижения их активности в традиционной банковской сфере.

Повышенный интерес к криптовалютной индустрии неизбежно приведет к тому, что все больше атак будет совершаться не только финансово мотивированными хакерами, но и группировками, спонсируемыми государствами, которые будут пытаться использовать этот новый финансовый инструмент для влияния на мировую экономику.помимо более высокой доходности, хакеров привлекает анонимность, которая является одним из базовых принципов криптовалютной индустрии.

Криптовалюты и связанные с ними сервисы — очень динамичный и высокодоходный рынок, отмечают эксперты. При такой скорости развития и притока денег вопросы безопасности часто становятся для блокчейн-стартапов второстепенными. Хакеры успешно этим пользуются. Чем успешнее финтех-проект, чем масштабнее ICO, тем он более привлекателен для атак. При этом злоумышленники используют широкий набор уже известных техник — от банального фишинга и перехвата контроля над доменами до уязвимостей в исходных кодах и целенаправленных атак с целью получения доступа в локальную сеть компании.

«Количество угроз для криптовалютных и блокчейн-проектов, фиксируемых нашей системой Threat Intelligence, взлетело вместе с курсом биткоина. Уже успешно используются уязвимости в исходном коде смарт-контрактов. Получены доступы к секретным кошелькам криптобирж. Произошли утечки баз данных пользователей, угоны доменных имен. Владельцы бот-сетей отслеживают обращения зараженных устройств к веб- и мобильным приложениям кошельков, бирж, фондов. Создание и продвижение фишинговых сайтов-клонов для перехвата доступов к клиентским счетам уже ставится на поток», — убежден Дмитрий Волков, руководитель отдела расследований и сервиса киберразведки Threat Intelligence, сооснователь Group-IB.

По данным Chainalysis, хакерам удалось украсть 10% всех средств, в 2017 году инвестированных в ICO-проекты в Ethereum. Общий ущерб в долларовом эквиваленте составил $225 миллионов, 30 000 инвесторов лишились в среднем по $7500.

«Подобный размах мы наблюдали на заре развития онлайн-банкинга — ведь хакеры всегда следуют за деньгами, — добавляет Волков. — Тот факт, что злоумышленники «перенастраивают» популярные банковские трояны, такие как TrickBot, Vawtrak, Qadars, Tinba, Marcher, для сбора логинов и паролей пользователей криптовалют, говорит о том, что они нашли для себя новую нишу, и в ближайшее время можно ожидать снижения их активности в традиционной банковской сфере».

Помимо более высокой доходности, работа с криптовалютой дает злоумышленникам дополнительные преимущества, связанные с анонимностью, которая лежит в основе всей индустрии, а также более простые и безопасные механизмы отмывания и обналичивания украденных денежных средств.

«Повышенный интерес к криптовалютной индустрии неизбежно приведет к тому, что все больше атак будет совершаться не только финансово мотивированными хакерами, но и группировками, спонсируемыми государствами, которые будут пытаться использовать этот новый финансовый инструмент как для получения дополнительных доходов, так и для общего мониторинга ситуации на криптовалютном рынке», — прогнозирует Волков.

Также, согласно данным отчета, в ближайшем будущем главной опасностью для банков станет не воровство денег, а разрушение их ИТ-инфраструктуры как финальный этап целенаправленной хакерской атаки. Раньше на банки покушались только киберпреступники, теперь это все чаще прогосударственные хакеры. Разрушая ИТ-инфраструктуру, киберпреступники пытаются замести следы, а госхакеры — максимизировать ущерб банка и остановить банковские операции. В обоих случаях ущерб для банка может быть даже больше, чем от хищения денег.

Другие даные отчета:
  • Одним из возможных сценариев диверсии могут быть торги на биржах от имени банка с целью влияния на курсы валют. Это может привести к запуску лавинообразных операций, совершаемых торговыми роботами после резких колебаний валютных курсов.
  • Из 22 новых вредоносных программ для хищения денежных средств 20 (91%) созданы и управляются людьми, говорящими на русском языке.
  • Ущерб от троянов под Android в России вырос на 136% и перекрыл ущерб от троянов для персональных компьютеров на 30%
  • Хакеры сумели автоматизировать фишинг под банки и платежные системы, фишинг теперь происходит без непосредственного участия киберпреступника в каждой краже. Ежедневно жертвами финансового фишинга в России становятся более 900 клиентов банков. В среднем 10–15% посетителей фишинговых сайтов попадаются на уловку преступников и вводят свои данные.
  • Хакеры будут успешно атаковать промышленные объекты, потому что научились работать с «логикой» критически важной инфраструктуры. На таких объектах используются сложные, специфические ИТ-системы: даже получив к ним доступ, нужно обладать специальными знаниями о принципах их работы, чтобы вывести объект из строя. За последний год мы убедились, что уровень компетенции хакеров вырос, они научились работать с логикой жизненно важной инфраструктуры, и теперь можно прогнозировать новые крупные инциденты.
  • Хакерская группа BlackEnergy продолжает атаки на финансовые и энергетические компании. Оказавшиеся в ее распоряжении инструменты позволяют удаленно управлять терминалами Remote terminal unit (RTU), которые отвечают за физическое размыкание/замыкание энергосети. А летом 2017 года были зафиксированы тестовые атаки на энергокомпании Великобритании и Ирландии.
Рост числа атак и сумм хищений является ярким индикатором финансовой активности киберпреступников, изменения их тактики и целей, отмечают эксперты Group-IB. Большинство хакеров стремятся к обогащению. Если они находят новые, более выгодные и безопасные, способы заработка, то начинают инвестировать именно туда, создавая новые инструменты, услуги, схемы проведения атак.

Развитие хакерского инструментария
Бестелесность и вредоносные скрипты — новый (и теперь уже основной) принцип проведения атак. Хакеры стараются оставаться незамеченными и для этого используют «бестелесные» программы, которые работают только в оперативной памяти и уничтожаются после перезагрузки. Кроме того, скрипты на PowerShell, VBS, PHP помогают им обеспечивать персистентность (закрепление) в системе, а также автоматизировать некоторые этапы атаки.

История с NotPetya продемонстрировала, что для захвата контроля над корпоративной сетью достаточно создать шаблон — заскриптовать несколько простых шагов. В будущем стоит ожидать большого количества заскриптованных атак, а также готовых простых инструментов, которые будут автоматически получать контроль над инфраструктурой компании. Появление таких инструментов в открытом доступе или в продаже среди хакеров может привести к лавинообразному росту самых разных атак на корпоративный сектор. В первую очередь мы ожидаем роста инцидентов с шифровальщиками, кражей конфиденциальной информации и вымогательством за неразглашение данных, а также увеличение количества хищений денежных средств и публичных разоблачений, проводимых не финансово мотивированными атакующими.

В ближайшее время появится больше последователей The Shadow Brokers и инсайдеров, помогающих WikiLeaks. Мы ожидаем, что авторы вредоносных программ продолжат более активно выкладывать исходные коды своих программ. Кроме того, утечки, публикуемые The Shadow Brokers и их возможными последователями, также будут незамедлительно применяться на практике для создания и усовершенствования вредоносных программ. Это даст мощный толчок к развитию индустрии кибернападения.
Поделиться:
Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!

Оставить свой комментарий:

Для комментирования необходимо авторизоваться!

Комментарии по материалу

Данный материал еще не комментировался.