Компания Group-IB провела масштабное исследование андеграундного рынка, выявив ключевые очаги распространения угроз для бизнеса и государственного сектора. В отчете Hi-Tech Crime Trends аналитики фиксируют сращивание киберкриминальных групп в рамках поставленных на поток партнерским программ. Их используют шифровальщики, продавцы доступов в скомпрометированные сети, мошенники, занимающиеся фишингом и скамом. Эти альянсы приводят к эскалации угроз и новым жертвам киберпреступности в мире.
Отчет Hi-Tech Crime Trends презентуется в рамках конференции CyberCrimeCon в течение 10 лет и исследует разные аспекты киберкриминальной индустрии, анализирует атаки и прогнозирует изменение ландшафта угроз для различных отраслей экономики.
«Сегодня мы по традиции представили наш новый отчет Hi-Tech Crime Trends на конференции CyberCrimeCon, но в этом году эксперты Group-IB впервые разбили отчет на пять томов, детально исследовав наиболее опасные киберугрозы в мире: Продажа доступов, Империя шифровальщиков, Угрозы для финсектора, Военные операции, Фишинг и скам, каждый из которых будет последовательно опубликован до конца года, — отмечает Дмитрий Волков, CEO Group-IB. — Прогнозы и рекомендации Hi-Tech Crime Trends направлены на сокращение финансовых потерь и простоев инфраструктуры, а также для риск-менеджмента и принятия превентивных мер по противодействию целевым атакам, шпионажу и кибертеррористическим операциям».
«Империя шифровальщиков»: инструменты давления на жертв и RaaS
Используя систему Group-IB Threat Intelligence & Attribution для сбора исторических данных, в том числе, удаленных с андеграундных ресурсов злоумышленниками, эксперты Group-IB провели глубокий анализ развития рынка шифровальщиков, охватывающий более чем 10-летний период.
Катализатором успеха программ-вымогателей — только в России количество их атак в 2021 году увеличилось на 200% — стали альянсы операторов шифровальщиков с продавцами доступов в скомпрометированные сети компаний в рамках партнерских программ Ransomware-as-a-Service (RaaS).
Несмотря на «протесты» ряда администраторов андеграундных форумов «No more ransom!», за анализируемый период (H2 2020 — H1 2021) здесь появилась 21 новая партнерская программа — это на 19% больше, чем в прошлом периоде. Всего же с 2020 по 2021 год были опубликованы 34 новые «партнерки» вымогателей, в которые активно вступали профессиональные пентестеры (Initial Access Brokers) — они взламывали сети компаний для последующей перепродажи полученного доступа или участия в партнерских программах за процент от выкупа.
Пика достигло применение вымогателями Data Leak Site (DLS) — сайтов в даркнете, используемых в качестве дополнительного рычага давления на жертву, чтобы заставить ее заплатить выкуп под угрозой обнародования похищенных данных в публичном доступе.
Количество новых DLS выросло более, чем вдвое с 13 до 28 за период H2 2020 — H1 2021 по сравнению с H2 2019 — H1 2020. На них были выставлены данные 2 371 компании, ставшей жертвами операторов программ-вымогателей. Рост по сравнению с прошлым периодом, когда были выставлены данные 229 жертв, составил беспрецедентные 935%.
Таким образом, за весь 2020 год — данные 1 335 компаний-жертв шифровальщиков были опубликованы на DLS, а уже за первые три квартала 2021 года — 1 966, то есть на 47% больше, чем за весь прошлый год. Если учесть, что на DLS выкладываются данные только 10% атакованных компаний, это означает, что их количество в десятки раз больше. При этом около 30% жертв предпочитают платить выкуп.
В 2021 году самой агрессивной группой, использующей DLS, стала Conti, выложившая данные 361 компании-жертвы, что составляет 16,5% в общем объеме. За ней идет Lockbit (251 жертва), Avaddon (164), REvil (155) и Pysa (118). В прошлом году топ-5 выглядел иначе: Maze (259), Egregor (204), Conti (173), REvil (141) и Pysa (123).
В целом по миру, согласно анализу DLS, большинство жертв программ-шифровальщиков приходится на США (49,2%) и Канаду (5,6%). За ними идет Франция (5,2%), сменившая на этом месте Великобританию. Распределение по наиболее атакуемым индустриям вывело на первое место производство (9,6%), за ним недвижимость (9,5%) и транспорт (8,2%). Шифровальщики, атаковавшие на территории постсоветского пространства, наиболее активными из которых были Dharma, Crylock и Thanos — в общей сложности совершили более 300 атак. Однако данные компаний России и СНГ на DLS выложены не были. Вероятнее всего, эта техника будет взята на вооружение в дальнейшем.
Незваные гости: более 1000 доступов к сетям компаний выставлено на продажу в даркнете
Аналитики Group-IB наблюдают стремительный рост предложений в андеграунде по продаже доступов в скомпрометированные сети компаний во всем мире. Суммарное количество доступов, выставленных за период H2 2020 — H1 2021, составляет 1 099. Это на 204% больше жертв по сравнению с прошлым периодом (H2 2019 — H1 2020). Общий объем этого рынка составил $7 165 876, что на 16% больше, чем за прошлый период ($6 189 388). Основной способ взлома сетей компаний прежний — компрометация учетных записей средств удаленного доступа, фишинг и эксплуатация уязвимостей в опубликованных приложениях.
Количество продавцов в андеграунде увеличилось на рекордные 205%. По подсчетам Group-IB, их уже 262, что в 3 раза больше, чем за предыдущий период. Причем, 229 — это «свежая кровь» — брокеры, активность которых была впервые зафиксирована в отчетном периоде.
Пропорционально увеличилось количество стран, доступом к компаниям которых завладели злоумышленники: 68 стран было атаковано в нынешнем периоде против 42 стран в прошлом. При этом, странами-лидерами в антирейтинге остались США (30%), Франция (5%) и Великобритания (4%), однако значительно выросло количество доступов в компании Австралии (4%) и Индии (3%).
Большинство брокеров — русскоязычные, что делает Россию и СНГ наименее атакуемым регионом, так как злоумышленники стараются не работать по ру во избежание ареста. Исследование показало, что 76% от общего количества продаваемых доступов региона приходится на Россию. За ней идут Азербайджан и Армения — по 12% соответственно. Среди продаваемых доступов в России: ИТ-компании, Интернет-провайдеры, ритейл, а также сети госкомпаний. В Азербайджане одной из жертв брокеров стала крупная нефтяная компания, в Армении — из необычных предложение — казино. В целом, за исследуемый период объем рынка продажи доступов, относящихся к компаниям в России и СНГ, сократился в три раза и составил $48 239 против $142 058 в прошлом периоде.
Доступ в банк — открыт
За последний год количество продаваемых доступов в банки и финансовые организации в мире выросло почти на 206% — с 31 (H2 2019 H1 2020) до 95 (H2 2020 H1 2021). Количество продавцов доступов в скомпрометированные сети финансовых организаций также увеличилось с 18 до 47.
За период H2 2020 H1 2021 прибыль брокеров от продаж доступов в финсектор составила, как минимум, $530 000. Чаще всего их жертвами становились банки и финансовые организации США (22 факта продажи за последний год), Индия (6), Великобритания (5), ОАЭ (5), Канада (4), Мексика (4), Таиланд (4). В России зафиксирован один случай продажи доступа в банк.
Однако, несмотря на рост интереса брокеров к финсектору, его доля (9%) в отраслевом срезе сравнялась производством (9%) и образованием (9%). С отрывом за ними идут здравоохранение и торговля с долей по 7% каждая.
Рынок кардинга и фактор Джокера
Кардинг становится менее привлекательным для киберпреступников. Объем мирового рынка кардинга (продажи в андеграунде украденных данных банковских карт в виде дампов или текста) за исследуемый период уменьшился на 26% — с $1,9 млрд до $1,4 млрд. Это объясняется сокращением количества дампов (содержимое магнитных полос банковских карт) в продаже на 17% — до 58 млн. против 70 млн. из-за закрытия крупнейшего кардшопа Joker's Stash. При этом, в среднем, цена за дамп упала: с $21.88 до $13.84. Зато максимальная цена выросла с $500 до $750.
Другая ситуация сложилась на рынке текстовых данных банковских карт (номер, дата истечения, имя держателя, адрес, CVV). Их количество в андеграунде увеличилось на 36% с 28 млн. до 38 млн, благодаря росту объема фишинговых ресурсов под известные бренды в период пандемии. Средняя цена за текст выросла с $12.78 до $15.2, а максимальная взлетела в 7 раз с — со $150 до небывалых $1000.
Рынок кардинга в России и СНГ впервые сжался на 77%, составив всего $270 935 за отчетный период (H2 2020 — H1 2021) против $ 1 210 491 в прошлом периоде (H2 2019 — H1 2020). А общее количество данных банковских карт, выложенных на продажу в даркнете и атрибутируемых к банкам России и СНГ, сократилось на 60% — с 34 816 до 13 799.
Размер рынка дампов в регионе снизился на 88% с $931 978 до $115 098, а текстовых данных на 44% c $278 513 до $155 838. При этом, в среднем, цена в кардшопах на текст незначительно увеличилась — с $14.08 до $15.43 за карту, а за дамп упала вдвое с $61.98 до $31.12. Эксперты ожидают, что количество продаж банковских карт а андеграунде в дальнейшем будет постепенно снижаться. Прежде всего это коснется продаж дампов.
Рука руку моет: фишинговые и мошеннические партнерские программы
В отчетном периоде широкое распространение получили фишинговые и мошеннические партнерские программы (Scam-as-a-service, Phishing-as-a-service). Изначально они были ориентированы на Россию и страны СНГ. Сейчас в поле зрения специалистов Group-IB все чаще попадают «партнерки», нацеленные на европейские, азиатские, ближневосточные и американские компании. Известно о 71 бренде из 36 стран, под которые создают и распространяют фишинг участники таких «партнерок». Среди наиболее атакуемых: маркетплейсы (69,5%), сервисы доставки (17,2%), райдшеринг (сервисы по совместному использованию авто для поездок) —12,8% и другие.
С постсоветского пространства «партнерки» начали онлайн-миграцию в страны Европы, Америки, Азии, Ближнего Востока. Одним из таких примеров является «Мамонт» — мошенническая схема, популярная среди скам-партнерок. Она по-прежнему остается популярной в России, Беларуси, Казахстане, Узбекистане Азербайджане, Украине и Грузии.
По оценкам экспертов Group-IB, существует около 70 фишинговых и мошеннических партнерских программ. Цель участников фишинговых и мошеннических партнерских программ — кража денег, персональных и платежных данных. Их общая прибыль составила как минимум $10 000 000 за отчетный период. Средняя сумма хищений участниками партнерок составляет $83. В «партнерках» задействовано большое количество участников, есть строгая иерархия и сложная техническая инфраструктура для автоматизации мошенничества. Специалисты Group-IB отмечают, что, злоумышленники стали активно использовать Telegram в работе. У «партнерок» появилось огромное количество ручного трафика, получаемого через целенаправленную работу с жертвой.