Эксперты назвали тенденции киберпреступлений в период пандемии

Доклад был представлен на международном форуме Академии Управления МВД РФ "Стратегическое развитие системы МВД России: состояние, тенденции, перспективы".

Главным выводом исследования назван стремительный рост компьютерной преступности, в первую очередь, финансовых мошенничеств с использованием социальной инженерии, а также эксплуатация темы COVID-19 во вредоносных рассылках, переключение операторов вирусов-шифровальщиков на крупные цели, а также активный рекрутинг в преступные сообщества новых участников.

Последствия пандемии COVID-19, перевод сотрудников на удаленный режим работы, сокращение персонала и финансовый кризис вызвали стремительный рост компьютерной преступности. По оценкам аналитиков Group-IB, в первую очередь, выросло число финансовых мошенничеств с использованием методов социальной инженерии. За январь-июнь, по данным МВД, рост киберпреступности составил 91,7% по сравнению с аналогичным периодом прошлого года. При этом число "классических преступлений" снижалось: уличных разбоев стало меньше на 23,6%, грабежей - на 20,7%, краж - на 19,6%, угонов машин - на 28,7%.

Одной из главных тенденций цифровой трансформации в Академии Управления МВД называют развитие дистанционных способов совершения преступлений, при которых отсутствует физический контакт между злоумышленниками и их жертвами - преступления ушли из офлайна в онлайн. Например, если до 2014 года сбыт наркотиков происходил "из рук в руки", то с развитием цифровых технологий наркоторговцы стали использовать исключительно электронные торговые площадки в даркнете, принимающих оплату в криптовалюте. Практически 70% зарегистрированных преступлений, связанных с незаконным оборотом оружия, в 2020 году совершалось с использованием Интернета - дистанционно и анонимно. Тоже самое касается незаконного сбыта поддельных денег, ценных бумаг и документов.

На протяжении всего 2020 года Group-IB фиксировала рост числа финансовых мошенничеств с использованием социальной инженерии - вишинга, фишинга - жертвами которых становились, в основном, клиенты банков. Суммарно за 9 месяцев 2020 года CERT-GIB заблокировал 14 802 фишинговых ресурса, нацеленных на хищение денег и персональной информации посетителей сайтов (логины, пароли от аккаунтов и интернет-банков, данные банковских карт). Это больше, чем за прошлый год, когда были заблокированы 14 093 таких веб-ресурсов.

В Академии Управления МВД отмечают, что наиболее распространенным механизмом дистанционного мошенничества с применением техники социальной инженерии является традиционный звонок от "службы безопасности банка" якобы по поводу несанкционированной транзакции или взлома личного кабинета. При этом телефонные мошенники активно использовали технологии, связанные с подменой номеров и SIP-телефонией, которая не требует ни телефона, ни сим-карты. При использовании анонимайзеров установить реальный IP-адрес злоумышленника довольно затруднительно. Появление в последнее время сервисов "по пробиву" клиентов банков, построенных на комбинировании методов OSINT и инсайдерского доступа к различным базам данных, увеличило объем информации о потенциальных жертвах, доступной для злоумышленников, и привело к увеличению количества атак.

При этом сами схемы реализации мошенничества фактически не изменились. Основной мотив киберпреступников - прежний: кража денег или информации, которую можно продать, но они приобрели новую "упаковку", адаптированную под актуальную повестку. Это продажа фейковых цифровых пропусков, рассылка сообщений о штрафах за нарушение карантина, липовые сайты курьерских служб, мошеннические рассылки от имени сервиса видеоконференций Zoom.

Кроме того, в период панедмии электронная почта по-прежнему оставалась одним из основных векторов атак. "Злоумышленники адресно атаковали переведенных на дом сотрудников, заражая их компьютеры вредоносными программами, через которые затем получали доступ в корпоративную сеть, -отмечает Валерий Баулин, руководитель Лаборатории компьютерной криминалистики Group-IB. - Чаще всего перехваченные вредоносные рассылки, замаскированные в том числе и под сообщения о COVID-19, несли на борту" вложения с программами-шпионами или ссылки, ведущие на их скачивание, бэкдоры и загрузчики, которые впоследствии использовались для установки других вредоносных программ, в том числе банковских троянов или вирусов-шифровальщиков".

Популярность последних не случайна. В 2020 году подавляющее большинство преступных групп переключилось на работу с программами-шифровальщиками - злоумышленники поняли, что с их помощью можно заработать не меньше, чем в случае успешной атаки на банк, а техническое исполнение - значительно проще.

Текущий год дал жизнь еще большему количеству групп и партнерских программ, а также новым коллаборациям. Так операторы банковского трояна QakBot присоединились к "охоте за крупной дичью"(Big Game Hunting - атаки на крупные компании с целью получения значительного выкупа), воспользовавшись помощью криптолокера ProLock, а еще недавно активно атаковавшая банки и отели группа FIN7 присоединилась к партнерской программе вымогателя REvil. Размер выкупа также значительно увеличился: операторы криптолокеров нередко просят несколько миллионов долларов, а иногда - и несколько десятков миллионов. Несмотря на негласный запрет у киберпреступников "не работать по РУ", обнаруженная в 2020 году Group-IB группа OldGremlin, состоящая из русскоязычных хакеров, активно атакует исключительно российские компании - банки, промышленные предприятия, медицинские организации и разработчиков софта.