Brother
Professional
- Messages
- 2,590
- Reaction score
- 526
- Points
- 113
Group-IB, один из мировых лидеров в области кибербезопасности, представил свое исследование глобальных киберугроз в отчете « Тенденции высокотехнологичных преступлений 2021/2022» на своей ежегодной конференции по поиску угроз и разведке CyberCrimeCon '21. В отчете, посвященном развитию киберпреступности во втором полугодии 2020 - первом полугодии 2021 года, исследователи Group-IB анализируют растущую сложность глобального ландшафта угроз и подчеркивают постоянно растущую роль союзов между участниками угроз. Эта тенденция проявляется в партнерстве между операторами программ-вымогателей и брокерами первоначального доступа в рамках модели «программа-вымогатель как услуга». Мошенники также объединяются в кланы, чтобы автоматизировать и упростить мошеннические операции. И наоборот, количество отдельных киберпреступлений, таких как кардинг, впервые за долгое время сокращается.
В отчете «Тенденции высокотехнологичной преступности» 10- й год подряд анализируются различные аспекты деятельности киберпреступной индустрии, изучаются атаки и даются прогнозы ландшафта угроз для различных секторов. Впервые отчет был разделен на пять основных томов, каждый из которых имел разную направленность: программы-вымогатели, продажа доступа к корпоративным сетям, кибервойна, угрозы финансовому сектору, а также фишинг и мошенничество. Прогнозы и рекомендации, изложенные в «Тенденции высокотехнологичных преступлений на 2020–2021 годы», направлены на предотвращение ущерба и простоев компаний по всему миру.
Одна из основных тенденций в сфере киберпреступности - резкое увеличение количества предложений о продаже доступа к взломанным корпоративным сетям. Основанный печально известным хакером Fxmsp, которому Министерство юстиции США предъявило обвинение в 2020 году, рынок корпоративного первичного доступа вырос почти на 16% во втором полугодии 2020 года - первом полугодии 2021 года, с 6 189 388 долларов до 7 165 387 долларов. Количество предложений о продаже доступа компаниям за рассматриваемый период выросло почти втрое: с 362 до 1099. Эти эксклюзивные данные были получены системой Threat Intelligence & Attribution Group-IB, которая собирает даже удаленную информацию с подпольных форумов киберпреступников.
Этот сегмент киберпреступного подполья имеет относительно низкий входной барьер. Плохое корпоративное управление киберрисками в сочетании с широкой доступностью инструментов для проведения атак на корпоративные сети способствовали рекордному увеличению числа брокеров первоначального доступа. Во втором полугодии 2019 - первом полугодии 2020 года команда Group-IB Threat Intelligence обнаружила только 86 активных брокеров. Однако во втором полугодии 2020 - первом полугодии 2021 года это число резко выросло до 262, и к списку присоединились 229 новых игроков.
Большинство пострадавших компаний относились к производственной (9% всех компаний), образованию (9%), финансовым услугам (9%), здравоохранению (7%) и торговле (7%). За отчетный период количество отраслей, используемых брокерами первоначального доступа, выросло с 20 до 35, что указывает на то, что киберпреступники начинают осознавать разнообразие потенциальных жертв.
Расширилась и география работы брокеров первичного доступа. Во втором полугодии 2020 года - первом полугодии 2021 года количество стран, в которых киберпреступники проникли в корпоративные сети, увеличилось с 42 до 68. Американские компании являются наиболее популярными среди продавцов доступа к взломанным сетям - на них приходится 30% всех компаний-жертв в Полугодие 2020 года - первое полугодие 2021 года, за которыми следуют Франция (5%) и Великобритания (4%).
Одной из основных движущих сил первоначального роста рынка доступа является резкое увеличение количества атак программ-вымогателей. Брокеры первоначального доступа избавляют операторов от программ-вымогателей самостоятельно взламывать корпоративные сети.
Нечестивый альянс брокеров первичного доступа и операторов программ-вымогателей в рамках партнерских программ Ransomware-as-as-a-Service (RaaS) привел к подъему империи программ-вымогателей. В общей сложности данные, касающиеся 2371 компании, были опубликованы на DLS (сайтах утечки данных) за второе полугодие 2020 - первое полугодие 2021 года. Это беспрецедентное увеличение на 935% по сравнению с предыдущим периодом обзора, когда были обнародованы данные, касающиеся 229 жертв.
Благодаря системе Threat Intelligence & Attribution исследователи Group-IB смогли проследить, как развивалась империя вымогателей с момента своего появления. Команда Group-IB проанализировала частные партнерские программы Ransomware, DLS, где они публикуют эксфильтрованные данные, принадлежащие жертвам, которые отказались платить выкуп, и наиболее агрессивные штаммы вымогателей.
За отчетный период аналитики Group-IB выявили 21 новую партнерскую программу Ransomware-as-a-Service (RaaS), что на 19% больше по сравнению с предыдущим периодом. За отчетный период киберпреступники освоили использование DLS, которые используются как дополнительный источник давления на своих жертв, чтобы заставить их заплатить выкуп, угрожая утечкой их данных. Однако на практике жертвы все еще могут найти свои данные в DLS, даже если выкуп уплачен. Количество новых DLS увеличилось более чем вдвое за отчетный период и достигло 28 по сравнению с 13 во втором полугодии 2019 - первом полугодии 2020 года.
Примечательно, что за первые три квартала 2021 года операторы программ-вымогателей опубликовали на 47% больше данных об атакованных компаниях, чем за весь 2020 год. Учитывая, что киберпреступники публикуют данные только о 10% своих жертв, фактическое количество Жертв атак программ-вымогателей, вероятно, будет на несколько десятков больше. Доля компаний, выплачивающих выкуп, оценивается в 30%.
Проанализировав DLS программ-вымогателей в 2021 году, аналитики Group-IB пришли к выводу, что Conti была самой агрессивной группой программ-вымогателей: она раскрыла информацию о 361 жертве (16,5% всех компаний-жертв, чьи данные были опубликованы на DLS), за ней следует Lockbit (251), Аваддон (164), REvil (155) и Писа (118). В прошлогоднюю пятерку лучших попали: Maze (259), Egregor (204), Conti (173), REvil (141) и Pysa (123).
Что касается стран, большинство компаний, данные которых были размещены в DLS операторами программ-вымогателей в 2021 году, базировались в США (968), Канаде (110) и Франции (103), в то время как большинство затронутых организаций принадлежало к производственным предприятиям (9,6%). , недвижимость (9,5%) и транспорт (8,2%).
За рассматриваемый период рынок кардинга упал на 26%, с 1,9 млрд долларов США до 1,4 млрд долларов США по сравнению с предыдущим периодом. Снижение объясняется меньшим количеством дампов (данных, хранящихся на магнитной полосе банковских карт), выставленных на продажу: количество предложений сократилось на 17%, с 70 миллионов записей до 58 миллионов, из-за печально известного карточного магазина Joker. Тайник закрывается. Между тем, средняя цена сброса банковской карты упала с 21,88 доллара до 13,84 доллара, а максимальная цена выросла с 500 до 750 долларов.
Противоположная тенденция наблюдалась на рынке продажи текстовых данных банковских карт (номера банковских карт, даты истечения срока действия, имена владельцев, адреса, CVV): их количество выросло на 36%, с 28 миллионов записей до 38 миллионов, что среди прочих другие могут быть объяснены увеличением количества фишинговых веб-ресурсов, имитирующих известные бренды во время пандемии. Средняя цена на текстовые данные выросла с 12,78 до 15,2 доллара, а максимальная цена взлетела в 7 раз: со 150 до беспрецедентной тысячи долларов.
Еще одной группой киберпреступников, активно налаживающих партнерские отношения в течение рассматриваемого периода, были мошенники. В последние годы стали очень популярны партнерские программы фишинга и мошенничества. Исследование, проведенное Group-IB, показало, что существует более 70 партнерских программ для фишинга и мошенничества. Участники стремятся украсть деньги, а также личные и платежные данные. Всего за отчетный период злоумышленниками, участвовавшими в подобных схемах, было присвоено не менее 10 млн долларов США. Средняя сумма, украденная участником партнерской программы мошенничества, оценивается в 83 доллара.
Партнерские программы включают большое количество участников, имеют строгую иерархию и используют сложную техническую инфраструктуру для автоматизации мошеннических действий. Партнерские программы для фишинга и мошенничества активно используют ботов Telegram, которые предоставляют участникам готовые к использованию мошеннические и фишинговые страницы. Это помогает масштабировать фишинговые кампании и адаптировать их к банкам, популярным почтовым службам и другим организациям.
Партнерские программы по фишингу и мошенничеству, изначально ориентированные на Россию и другие страны СНГ, недавно начали онлайн-миграцию в Европу, Америку, Азию и Ближний Восток. Примером этого является Classiscam: автоматизированная афера как услуга, предназначенная для кражи денег и платежных данных. Group-IB известно как минимум о 71 бренде из 36 стран, выданном участниками партнерской программы. Фишинговые и мошеннические веб-сайты, созданные участниками партнерских программ, чаще всего имитируют торговые площадки (69,5%), службы доставки (17,2%) и службы совместного использования автомобилей (12,8%).
В отчете «Тенденции высокотехнологичной преступности» 10- й год подряд анализируются различные аспекты деятельности киберпреступной индустрии, изучаются атаки и даются прогнозы ландшафта угроз для различных секторов. Впервые отчет был разделен на пять основных томов, каждый из которых имел разную направленность: программы-вымогатели, продажа доступа к корпоративным сетям, кибервойна, угрозы финансовому сектору, а также фишинг и мошенничество. Прогнозы и рекомендации, изложенные в «Тенденции высокотехнологичных преступлений на 2020–2021 годы», направлены на предотвращение ущерба и простоев компаний по всему миру.
Брокеры первичного доступа: компании из США - самые частые цели
Одна из основных тенденций в сфере киберпреступности - резкое увеличение количества предложений о продаже доступа к взломанным корпоративным сетям. Основанный печально известным хакером Fxmsp, которому Министерство юстиции США предъявило обвинение в 2020 году, рынок корпоративного первичного доступа вырос почти на 16% во втором полугодии 2020 года - первом полугодии 2021 года, с 6 189 388 долларов до 7 165 387 долларов. Количество предложений о продаже доступа компаниям за рассматриваемый период выросло почти втрое: с 362 до 1099. Эти эксклюзивные данные были получены системой Threat Intelligence & Attribution Group-IB, которая собирает даже удаленную информацию с подпольных форумов киберпреступников.
Этот сегмент киберпреступного подполья имеет относительно низкий входной барьер. Плохое корпоративное управление киберрисками в сочетании с широкой доступностью инструментов для проведения атак на корпоративные сети способствовали рекордному увеличению числа брокеров первоначального доступа. Во втором полугодии 2019 - первом полугодии 2020 года команда Group-IB Threat Intelligence обнаружила только 86 активных брокеров. Однако во втором полугодии 2020 - первом полугодии 2021 года это число резко выросло до 262, и к списку присоединились 229 новых игроков.
Большинство пострадавших компаний относились к производственной (9% всех компаний), образованию (9%), финансовым услугам (9%), здравоохранению (7%) и торговле (7%). За отчетный период количество отраслей, используемых брокерами первоначального доступа, выросло с 20 до 35, что указывает на то, что киберпреступники начинают осознавать разнообразие потенциальных жертв.
Расширилась и география работы брокеров первичного доступа. Во втором полугодии 2020 года - первом полугодии 2021 года количество стран, в которых киберпреступники проникли в корпоративные сети, увеличилось с 42 до 68. Американские компании являются наиболее популярными среди продавцов доступа к взломанным сетям - на них приходится 30% всех компаний-жертв в Полугодие 2020 года - первое полугодие 2021 года, за которыми следуют Франция (5%) и Великобритания (4%).
Одной из основных движущих сил первоначального роста рынка доступа является резкое увеличение количества атак программ-вымогателей. Брокеры первоначального доступа избавляют операторов от программ-вымогателей самостоятельно взламывать корпоративные сети.
Lock, Lock Кто там? Капрансом
Нечестивый альянс брокеров первичного доступа и операторов программ-вымогателей в рамках партнерских программ Ransomware-as-as-a-Service (RaaS) привел к подъему империи программ-вымогателей. В общей сложности данные, касающиеся 2371 компании, были опубликованы на DLS (сайтах утечки данных) за второе полугодие 2020 - первое полугодие 2021 года. Это беспрецедентное увеличение на 935% по сравнению с предыдущим периодом обзора, когда были обнародованы данные, касающиеся 229 жертв.
Благодаря системе Threat Intelligence & Attribution исследователи Group-IB смогли проследить, как развивалась империя вымогателей с момента своего появления. Команда Group-IB проанализировала частные партнерские программы Ransomware, DLS, где они публикуют эксфильтрованные данные, принадлежащие жертвам, которые отказались платить выкуп, и наиболее агрессивные штаммы вымогателей.
За отчетный период аналитики Group-IB выявили 21 новую партнерскую программу Ransomware-as-a-Service (RaaS), что на 19% больше по сравнению с предыдущим периодом. За отчетный период киберпреступники освоили использование DLS, которые используются как дополнительный источник давления на своих жертв, чтобы заставить их заплатить выкуп, угрожая утечкой их данных. Однако на практике жертвы все еще могут найти свои данные в DLS, даже если выкуп уплачен. Количество новых DLS увеличилось более чем вдвое за отчетный период и достигло 28 по сравнению с 13 во втором полугодии 2019 - первом полугодии 2020 года.
Примечательно, что за первые три квартала 2021 года операторы программ-вымогателей опубликовали на 47% больше данных об атакованных компаниях, чем за весь 2020 год. Учитывая, что киберпреступники публикуют данные только о 10% своих жертв, фактическое количество Жертв атак программ-вымогателей, вероятно, будет на несколько десятков больше. Доля компаний, выплачивающих выкуп, оценивается в 30%.
Проанализировав DLS программ-вымогателей в 2021 году, аналитики Group-IB пришли к выводу, что Conti была самой агрессивной группой программ-вымогателей: она раскрыла информацию о 361 жертве (16,5% всех компаний-жертв, чьи данные были опубликованы на DLS), за ней следует Lockbit (251), Аваддон (164), REvil (155) и Писа (118). В прошлогоднюю пятерку лучших попали: Maze (259), Egregor (204), Conti (173), REvil (141) и Pysa (123).
Что касается стран, большинство компаний, данные которых были размещены в DLS операторами программ-вымогателей в 2021 году, базировались в США (968), Канаде (110) и Франции (103), в то время как большинство затронутых организаций принадлежало к производственным предприятиям (9,6%). , недвижимость (9,5%) и транспорт (8,2%).
Кардинг: последний смех Джокера
За рассматриваемый период рынок кардинга упал на 26%, с 1,9 млрд долларов США до 1,4 млрд долларов США по сравнению с предыдущим периодом. Снижение объясняется меньшим количеством дампов (данных, хранящихся на магнитной полосе банковских карт), выставленных на продажу: количество предложений сократилось на 17%, с 70 миллионов записей до 58 миллионов, из-за печально известного карточного магазина Joker. Тайник закрывается. Между тем, средняя цена сброса банковской карты упала с 21,88 доллара до 13,84 доллара, а максимальная цена выросла с 500 до 750 долларов.
Противоположная тенденция наблюдалась на рынке продажи текстовых данных банковских карт (номера банковских карт, даты истечения срока действия, имена владельцев, адреса, CVV): их количество выросло на 36%, с 28 миллионов записей до 38 миллионов, что среди прочих другие могут быть объяснены увеличением количества фишинговых веб-ресурсов, имитирующих известные бренды во время пандемии. Средняя цена на текстовые данные выросла с 12,78 до 15,2 доллара, а максимальная цена взлетела в 7 раз: со 150 до беспрецедентной тысячи долларов.
Мошенничество
Еще одной группой киберпреступников, активно налаживающих партнерские отношения в течение рассматриваемого периода, были мошенники. В последние годы стали очень популярны партнерские программы фишинга и мошенничества. Исследование, проведенное Group-IB, показало, что существует более 70 партнерских программ для фишинга и мошенничества. Участники стремятся украсть деньги, а также личные и платежные данные. Всего за отчетный период злоумышленниками, участвовавшими в подобных схемах, было присвоено не менее 10 млн долларов США. Средняя сумма, украденная участником партнерской программы мошенничества, оценивается в 83 доллара.
Партнерские программы включают большое количество участников, имеют строгую иерархию и используют сложную техническую инфраструктуру для автоматизации мошеннических действий. Партнерские программы для фишинга и мошенничества активно используют ботов Telegram, которые предоставляют участникам готовые к использованию мошеннические и фишинговые страницы. Это помогает масштабировать фишинговые кампании и адаптировать их к банкам, популярным почтовым службам и другим организациям.
Партнерские программы по фишингу и мошенничеству, изначально ориентированные на Россию и другие страны СНГ, недавно начали онлайн-миграцию в Европу, Америку, Азию и Ближний Восток. Примером этого является Classiscam: автоматизированная афера как услуга, предназначенная для кражи денег и платежных данных. Group-IB известно как минимум о 71 бренде из 36 стран, выданном участниками партнерской программы. Фишинговые и мошеннические веб-сайты, созданные участниками партнерских программ, чаще всего имитируют торговые площадки (69,5%), службы доставки (17,2%) и службы совместного использования автомобилей (12,8%).
