автор: Владимир Овчинский
Елена Ларина
По мнению западных и российских экспертов военный конфликт на Украине изменил масштабы, структуру, методы киберпреступности. Этим проблемам посвящен ряд исследований.
Анализ Европола
В июле 2023 года опубликован доклад Европола «Оценка угрозы организованной преступности в Интернете (IOCTA) 2023 г.».
В докладе отмечается:
«В 2022 году внимание всего мира переключилось с пандемии COVID-19 на военный конфликт на Украине, что, среди прочего, поставило политические разногласия киберпреступного подполья под увеличительным стеклом. Действия правоохранительных органов, хактивизм и негативные последствия внутри преступных группировок раскрыли известную правду, подтвердили предположения и дали представление о внутренней работе бизнес-структур, а также об управляющих ими субъектах угроз. Нестабильность в регионе привела к перемещению некоторых киберпреступников, действующих в этом районе, что дало возможность правоохранительным органам арестовать высокопоставленных злоумышленников, ранее находившихся вне их досягаемости.
Последствия геополитической ситуации можно было увидеть в шквале разрушительных кибератак не только на украинские и российские цели, но и во всем мире, особенно в ЕС. Рост этих вредоносных действий, нацеленных на государства-члены ЕС, в основном связан со значительным количеством распределенных атак типа «отказ в обслуживании» (DDoS), затрагивающих национальные и региональные государственные учреждения. Эти атаки часто были политически мотивированы и координировались пророссийскими хакерскими группами в ответ на заявления или действия в поддержку Украины».
Военный конфликт на Украине также в очередной раз продемонстрировал приспособляемость и авантюризм киберпреступников. Интернет-мошенники быстро отреагировали на обстоятельства и воспользовались кризисом, придумав множество связанных с ним нарративов. Они преследовали жертв по всему ЕС под предлогом поддержки Украины или украинцев. Поддельные веб-страницы были созданы для вымогательства денег с использованием URL-адресов, содержащих вводящие в заблуждение ключевые слова. С мошеннических адресов рассылались электронные письма, якобы предназначенные для сбора средств на гуманитарную деятельность. В некоторых случаях мошенники выдавали себя за знаменитостей, которые руководили или поддерживали настоящие кампании, или подделывали домены гуманитарных организаций, предлагая жертвам делать пожертвования в криптовалютах.
Угроза сексуальной эксплуатации детей в Интернете, хотя и не затронутая этими геополитическими событиями, продолжает увеличиваться с точки зрения количества и серьезности. Правонарушители из всех областей преступности продолжают пользоваться юридическими и уголовными службами конфиденциальности, чтобы маскировать свои действия и личность, по мере того, как их знания о мерах противодействия расширяются.
Кибератаки сложны для расследования, поскольку они состоят из нескольких шагов от первоначального вторжения через горизонтальное перемещение и повышение привилегий до кражи и эксплуатации данных, при этом несколько участников работают над частями уголовного процесса, а важное преступление как сервисное измерение.
Услуги киберпреступников широко доступны и имеют хорошо зарекомендовавшее себя онлайн-присутствие с высоким уровнем специализации внутри криминальных сетей и сотрудничества между незаконными провайдерами. Услуги, предлагаемые для совершения киберпреступлений, часто взаимосвязаны, и их эффективность в определенной степени зависит друг от друга. Поставщики незаконных услуг обслуживают большое количество преступников, предлагая услуги по мониторингу, доставке и сокрытию информации. Такие услуги часто предлагаются для продажи или рекламируются на форумах и торговых площадках даркнета.
Например, брокеры начального доступа (IAB) и дроппер-сервисы обслуживают различных киберпреступников и играют ключевую роль в атаках программ-вымогателей и схемах онлайн-мошенничества. Разработчикам вредоносного ПО и мошенникам нужны каналы, чтобы охватить большое количество жертв. В этом контексте дропперы и фишинговые службы широко используются для отслеживания жертв и доставки вредоносных полезных нагрузок, необходимых для доступа к целевым сетям. Эти сервисы работают с ботнетами, чтобы удовлетворить спрос на объем распространения.
Успешность этих операций также зависит от сложности методов запутывания, позволяющих скрыть их криминальные намерения. Преступные группировки, управляющие службами доставки, имеют тесные рабочие отношения с разработчиками шифровальщиков. Это программное обеспечение запутывает вредоносную полезную нагрузку, шифруя ее, что делает ее менее обнаруживаемой антивирусными (AV) программами.
Службы противодействия вирусам (CAV) также очень популярны среди киберпреступников, поскольку их преступная деятельность остается незамеченной. Разработчики вредоносных программ и преступники, предоставляющие услуги шифрования, используют службы CAV для сканирования своего кода с помощью антивирусных решений, чтобы определить, какие его части обнаружены как вредоносные. Затем они используют эту информацию для обфускации кода, чтобы антивирусные программы и брандмауэры не распознавали его. Некоторые зрелые группы вредоносного ПО даже нанимают собственных пентестеров, чтобы гарантировать, что их вредоносное ПО сможет обойти антивирусное ПО.
Виртуальные частные сети (VPN) — это наиболее распространенные услуги, которые киберпреступники используют для защиты связи и работы в Интернете, маскируя личность, местоположение и инфраструктуру своих операций. Они обслуживают операторов вредоносных программ, мошенников, преступников, занимающихся сексуальной эксплуатацией детей (CSE), и любых других киберпреступников, которые нуждаются в маскировке своих незаконных действий в Интернете. Провайдеры VPN размещают ряд прокси-серверов, через которые пользователи могут направлять свой трафик, чтобы скрыть свое фактическое местоположение (IP) и содержание своего трафика. Хотя услуги VPN не являются незаконными, некоторые из них предназначены для преступников и рекламируются для них. Для этих VPN-сервисов характерны полная анонимность, обеспечиваемая сквозным шифрованием (E2EE), и отсутствие сотрудничества с законными запросами информации от правоохранительных органов. Криминальные VPN-провайдеры знают о потребностях преступников и активно рекламируют свои услуги на криминальных рынках.
Всем этим провайдерам требуется инфраструктура, обеспечивающая устойчивость к сбоям и сокрытию от правоохранительных органов. Многие поставщики интернет-услуг (ISP), которыми часто пользуются преступники, не применяют обширные методы мониторинга клиентов, такие как процедуры «Знай своего клиента» (KYC) и хранение баз клиентов и метаданных (например, IP-адрес), что способствует преступной деятельности. Некоторые из них не предоставляют информацию о клиентах по законным запросам, за исключением автоматического подтверждения адреса электронной почты, что приводит к ограниченной доступности информации, позволяющей установить личность подозреваемого. Кроме того, хостинг — это сложная международная сфера бизнеса, где серверы часто перепродаются другим центрам обработки данных, расположенным в других регионах. Этот тип хостинга называется абузоустойчивым хостингом, и правоохранительным органам, как известно, трудно бороться с ним на протяжении многих лет.
Демонтаж VPNLab — операция «ОВЕРЛОРД»
VPNLab, один из самых популярных сервисов, используемых киберпреступниками, был закрыт правоохранительными органами в январе 2022 года. День акции последовал за скоординированными следственными усилиями Канады, Чехии, Франции, Германии, Венгрии, Латвии, Нидерландов, Украины, Великобритании и США при поддержке Европола и Евроюста.
Как и большинство VPN, этот сервис экранировал связь и просмотр Интернета. VPNLab использовался для поддержки серьезных преступных деяний, таких как создание инфраструктуры и связи для операций программ-вымогателей и распространения вредоносных программ. Сервис, активный с 2008 года, рекламировался в даркнете всего за 60 долларов США в год и не выполнял законные запросы правоохранительных органов.
Различные серверы VPNLab находились в ЕС, а некоторые и в третьих странах. Следственные меры, предпринятые против VPNLab, продемонстрировали, как отключение одного сервиса может помочь в проведении многочисленных других расследований. Например, многие пользователи VPNLab использовали сервис для подключения к доменам компаний, которые были скомпрометированы группой вымогателей.
Похожие техники для разных целей
Защита от различных форм киберпреступности так же сильна, как и самое слабое звено, которым по-прежнему остается человеческий контроль. Фишинговые электронные письма, вредоносные файлы документов, методы социальной инженерии и неисправленное программное и аппаратное обеспечение — наиболее распространенные способы проникновения преступников в системы своих жертв.
Социальная инженерия и, в частности, фишинг, широко используются всеми типами киберпреступников. Этот метод использует обман, чтобы заставить людей разглашать конфиденциальную или личную информацию, которая может быть использована в мошеннических целях. Социальная инженерия увеличилась как по объему, так и по сложности, в то же время изменения в законодательстве ЕС усложнили мошенничество с скомпрометированными платежными картами, в результате чего преступники сместили акцент на пользователей, а не на цифровые системы. Фишинг является ключевым вектором доступа для большинства типов схем онлайн-мошенничества и атак с использованием вредоносного ПО, направленных на проникновение в системы, кражу данных или вымогательство денег. Фишинговые электронные письма, содержащие вредоносное ПО, брутфорс протокола удаленного рабочего стола (RDP) и использование уязвимостей VPN — наиболее распространенные тактики вторжения, используемые киберпреступниками. Затем легитимное программное обеспечение и инструменты, встроенные в операционные системы, используются не по назначению для обеспечения постоянства и проникновения в сети своих жертв. Повышение доступности фишинговых наборов позволяет большему количеству преступных сетей успешно проводить фишинговые атаки, независимо от уровня их организации и технических знаний. Фишинг также может иметь разные проявления в зависимости от используемого средства коммуникации. Распространенными альтернативными проявлениями являются смишинг (SMS-фишинг) и вишинг (голосовой фишинг).
Выдача себя за другое лицо — это метод, широко используемый преступниками, занимающимися сексуальной эксплуатацией детей и схемами онлайн-мошенничества, для обмана жертв. Преступники, занимающиеся сексуальной эксплуатацией детей, широко используют социальные сети для взаимодействия со своими жертвами, часто взаимодействуя с ними под вымышленным именем. Онлайн-мошенники выдают себя за законные предприятия, учреждения, неправительственные организации и частных лиц, чтобы требовать денежных переводов или получать доступ к конфиденциальной информации жертв.
Мошенничество с благотворительностью — это особенно недобросовестный тип схемы онлайн-мошенничества с использованием выдачи себя за другое лицо. Наживаясь на щедрости отдельных лиц по отношению к нуждающимся, преступные субъекты пользуются нынешними чрезвычайными ситуациями, выдавая себя за настоящие организации, для получения пожертвований, ставя под угрозу как жертвователя, так и законную благотворительную организацию. Мошенничество с использованием кризисов выявлялось все чаще в последние годы, сначала в связи с пандемией COVID-19, а в последнее время — в контексте военного конфликта на Украине и землетрясения в Турции и Сирии.
Спуфинг является примером очень эффективного метода завоевания доверия жертв, позволяя мошенникам совершать телефонные звонки или отправлять текстовые сообщения, в которых указан идентификатор вызывающего абонента, отличный от идентификатора телефона, с которого на самом деле осуществляется вызов. Мошенники часто используют спуфинг, чтобы представить себя заслуживающим доверия человеком или услугой, чтобы заманить жертв к передаче конфиденциальных данных, таких как токены двухфакторной аутентификации (2FA) или PIN-коды. В некоторых случаях операторы программ-вымогателей используют спуфинг, чтобы призывать жертв вести переговоры о выкупе, скрывая при этом свою личность. Некоторые криминальные сети предоставляют спуфинг как услугу другим преступникам.
Обычные методы вторжения, применяемые для совершения кибератак, также используются преступниками, участвующими в схемах онлайн-мошенничества, чтобы получить доступ к платежным и цифровым системам и манипулировать ими, оставаясь незамеченными. Вредоносное ПО внедряется в банкоматы (банкоматы) для манипулирования их операционной системой и вывода наличных. Цифровые платежные системы также взламываются с помощью вредоносных программ с целью кражи данных карт клиентов в процессе, называемом цифровым скиммингом.
Эти незаконно полученные учетные данные часто используются для кардинга, обычно выполняемого ботами, которые проверяют достоверность украденных данных карты и используют их для совершения покупок. Благодаря ботам преступники могут выполнять параллельные автоматизированные операции для попытки авторизации покупки.
Отказ от платформы iSpoof
«iSpoof.cc» был веб-сайтом, который предоставлял преступникам различные услуги, включая автоматический интерактивный голосовой ответ (IVR), перехват телепинов и мониторинг звонков в реальном времени. Веб-сайт может быть использован для нацеливания на жертв по всему миру. Успешное закрытие этой платформы в ноябре 2022 года привело к аресту 142 подозреваемых. Предполагается, что веб-сайт нанес предполагаемый ущерб, превышающий 115 миллионов евро.
В этом деле сотрудничали правоохранительные органы Австралии, Канады, Франции, Германии, Ирландии, Литвы, Нидерландов, Украины, Великобритании и США при поддержке Европола. Европол разработал пакеты данных для национальных следователей, предоставил безопасную платформу для обмена большими файлами доказательств и выявил дополнительных пользователей криминальной службы, которые уже были известны своим участием в других громких расследованиях киберпреступлений. После того, как iSpoof был закрыт, столичная полиция Великобритании (MET) объявила, что с июня 2021 года по июль 2022 года с использованием сайта было сделано 10 миллионов мошеннических звонков. MET воссоздало вступительное видео из iSpoof, ранее созданное криминальными администраторами, чтобы объяснить, как использовать платформу с отредактированным голосом за кадром, чтобы отпугнуть будущих пользователей услуг спуфинга и показать пользователям iSpoof, что полиция теперь имеет доступ к их данным. МЕТ также разослал 70 000 номеров, чтобы сообщить им, что они стали мишенью мошенников iSpoof. Эти упреждающие меры показывают, что изъятые базы данных и/или прослушиваемые серверы
Основным товаром этой незаконной экономики являются украденные данные, которые покупаются и производятся с помощью различных кибератак. Партнеры программ-вымогателей, мошенники и хакеры ищут информацию о жертвах для получения доступа к их системам и банковским счетам. Криминальные рынки процветают благодаря украденным учетным данным и данным о жертвах, созданным вышеупомянутыми субъектами с помощью компрометации баз данных и методов социальной инженерии. Кража данных является основной угрозой, поскольку украденные данные могут использоваться в широком спектре преступных действий, включая коммодификацию, доступ к системам, шпионаж, вымогательство и социальную инженерию.
Поставщики услуг «преступность как услуга» тесно сотрудничают с группировками, чьи портфели состоят из информации о доступе к ценным жертвам. Киберпреступники не очень ценят эксклюзивность и продают данные всем, кто готов их купить.
Для успешного выполнения своих операций киберпреступникам требуется доступ к просочившейся конфиденциальной информации жертв, такой как (базы данных) личных данных. Криминальные хакерские форумы часто предлагают такую информацию для продажи. Печально известным примером этого явления стал RaidForums, уничтоженный в ходе операции «Жгут» — скоординированной акции правоохранительных органов, проведенной в апреле 2022 года.
Произошло изменение типа украденных данных, доступных на криминальных рынках. Он больше не является только статическим (например, данные кредитной карты и учетные данные для входа), но состоит из ряда точек данных, полученных с устройств жертв, зараженных вредоносным ПО. Наблюдается рост активности на рынках украденных данных и спроса на IAB. Списки, публикуемые IAB, включают рекламу систем, к которым у них есть доступ, иногда сопровождаемую доходами компании.
Услуги IAB больше ориентированы на высококлассных киберпреступников, которым нужен доступ к ценным жертвам. Это контрастирует с такими платформами, как Raidforums, которые предлагают менее целенаправленный «оптовый доступ» к украденным данным, что более актуально для менее технически подкованных киберпреступников. Некоторые IAB активны в Интернете и темной сети. IAB предлагают различные украденные данные жертв (например, учетные данные для входа в систему, файлы cookie браузера, идентификаторы мобильных устройств, адреса электронной почты, имена пользователей и пароли).
Для противодействия несанкционированному доступу к личным кабинетам разработаны технологии дактилоскопирования.
Закрытие RaidForums – операция ТУРНИК
RaidForums начал свою работу в 2015 году и превратился в один из крупнейших в мире хакерских форумов с сообществом более полумиллиона пользователей. Он сосредоточился на сборе и перепродаже «эксклюзивных» личных данных и баз данных со взломанных серверов. RaidForums сделала себе имя, взламывая конкурирующие форумы и публикуя (доксируя) личную информацию об их администраторах.
Громкие утечки баз данных, которые продавали на форуме, обычно принадлежали корпорациям из разных отраслей. Они включали данные миллионов кредитных карт и номеров банковских счетов, номера маршрутизации, а также имена пользователей и пароли, необходимые для доступа к онлайн-аккаунтам. Этот тип данных может использоваться для кражи средств в Интернете, а также для отмывания преступных доходов через различные счета, которые не могут быть связаны с преступниками (например, счета денежных мулов).
Рядом с админом форума были арестованы двое сообщников. Европол координировал различные независимые расследования в отношении RaidForums (проведенные Португалией, Румынией, Швецией, Соединенным Королевством и Соединенными Штатами), что привело к закрытию службы в апреле 2022 года.
Эта онлайн-система борьбы с мошенничеством распознает подозрительный мошеннический трафик, собирая уникальную идентификационную информацию с конкретного пользовательского устройства. Цифровые отпечатки пальцев состоят из атрибутов, используемых для просмотра и цифрового поведения. Таким образом, цифровые отпечатки могут использоваться для точной имитации активности браузера на компьютере жертвы, чтобы обойти системы обнаружения мошенничества. Этот тип данных берется с компьютеров, зараженных вредоносным ПО, компилируется в пакеты и продается.
Мошенничество с платежными системами часто связано с кражей личной информации, которую затем можно использовать несколькими способами. Этот тип данных фактически может использоваться для дальнейших преступных действий, включая кражу личных данных, получение дополнительной информации о жертвах и выполнение мошеннических финансовых операций. Его также можно использовать для усовершенствования социальной инженерии, чтобы осуществлять более целенаправленные и эффективные схемы онлайн-мошенничества, затрагивающие лиц, чья информация была украдена в ходе основного уголовного процесса.
Быстрое развитие широко распространенной экосистемы торговли данными увеличило угрозу захвата аккаунта (ATO). Этот процесс происходит, когда преступники незаконно получают доступ к онлайн-аккаунту жертвы для собственной выгоды. Целевые учетные записи (такие как онлайн-банкинг, учетные записи электронной почты или профили в социальных сетях) ценны для преступников, поскольку они могут хранить средства, предоставлять доступ к определенным услугам или содержать важную личную информацию, которую можно продать в Интернете. ATO также осуществляется либо для прямого доступа к учетной записи жертвы, либо для сбора данных для дальнейшей торговли. В настоящее время ATO считается довольно простой в реализации техникой, поскольку брутфорс, инструменты для взлома и проверки аккаунтов продаются на форумах киберпреступников по очень низкой цене.
Повторяемость преступлений
Киберпреступность часто взаимосвязана, представляя собой связанный набор преступных действий, которые часто приводят к тому, что одна и та же жертва становится мишенью несколько раз. Это особенно очевидно в случае преступлений, связанных с сексуальной эксплуатацией детей, атак вредоносного ПО и схем онлайн-мошенничества. Например, мошенничество с инвестициями в некоторых случаях связано с другими видами мошенничества, такими как мошенничество в романтических отношениях. После кражи инвестиций и реализации мошенничества преступники часто связываются со своими жертвами, выдавая себя за адвокатов или сотрудников правоохранительных органов, предлагая помощь в возврате их средств в обмен на вознаграждение.
Информация о жертвах часто полностью монетизируется — это означает, что она может быть продана нескольким покупателям — что приводит к тому, что цели повторно становятся жертвами как мошенников, так и распространителей вредоносных программ. Сила информации неоспорима, поскольку группы вымогателей уже несколько лет используют ее в качестве заложников. Кроме того, скомпрометированные организации могут подвергаться нескольким одновременным или последовательным кибератакам, потому что IAB обычно не предлагают покупателям эксклюзивные права на свои активы. Благодаря этому одни и те же скомпрометированные учетные данные могут использоваться разными киберпреступниками.
Жертвы сексуальной эксплуатации детей подвергаются повторной виктимизации как офлайн, так и онлайн. Практические насильники часто совершают свои преступления в течение значительного периода времени и в некоторых случаях побуждают других преступников также жестоко обращаться с жертвой. Изображение сексуального насилия над детьми приводит к их повторной виктимизации. Материалы о сексуальном насилии над детьми (CSAM), созданные правонарушителями, на самом деле распространяются на многих уровнях, от закрытых сообществ доверенных преступников до крупных сообществ на онлайн-форумах. Получатели этого изображения в большинстве случаев делятся им дальше, в результате чего следователи сталкиваются с одним и тем же CSAM на протяжении многих лет и воздействуют на одну и ту же жертву.
Подпольные сообщества для обучения и вербовки киберпреступников
Темные веб-форумы активно используются киберпреступниками для общения, обмена знаниями, обмена цифровыми товарами и найма. Недавние исследования показывают, что молодые люди также используют такую среду, занимаясь рискованным поведением в Интернете. Среди молодых участников опроса 51 % сообщили, что используют онлайн-форумы и чаты, из которых 12 % используют даркнет-форумы и 11 % даркнет-маркетплейсы.
Группы программ-вымогателей используют форумы в открытой и темной сети для найма новых аффилированных лиц, пентестеров, инсайдеров компаний, IAB и финансовых мулов. Сайты утечки программ-вымогателей также были определены как места, где вербуются аффилированные лица. Точно так же лица, совершившие преступления, связанные с сексуальной эксплуатацией детей, широко используют форумы такого типа, чтобы в цифровом формате встречаться с единомышленниками, расширять свои криминальные знания, обмениваться и потреблять CSAM.
Практически все виды криминальных услуг доступны для продажи в этих средах. Криминальные хакерские форумы, торгующие украденными данными, переживают бум. Поставщики услуг «преступность как услуга» знают о потребностях преступников и активно рекламируют свои услуги на криминальных рынках, от криминальных VPN до IAB.
Темные веб-форумы также являются важным источником для сбора информации об оперативной безопасности (OpSec). Пользователи дают рекомендации, как избежать обнаружения и идентификации в обсуждениях на специализированных форумах. Широко распространены руководства и учебные пособия по таким темам, как методы мошенничества, сексуальная эксплуатация детей, отмывание денег, фишинг и вредоносное ПО. Кроме того, доступны руководства и часто задаваемые вопросы о том, как работать на рынке даркнета и проводить незаконные сделки.
Действия правоохранительных органов и (соперничающие) DDoS-атаки создали нестабильность на рынках даркнета, сократив их средний срок службы. В 2022 году несколько известных торговых площадок закрылись или совершили мошенническую аферу со своими пользователями.
Что происходит с криминальной прибылью?
Киберпреступники используют различные сервисы для отмывания своих преступных доходов в зависимости от объема и формы своей прибыли. Они часто используют свои собственные возможности по отмыванию денег (с помощью денежных мулов, подставных лиц и крипто-миксеров), однако некоторые сети нанимают профессиональных отмывателей денег в сотрудничестве по принципу «преступление как услуга». Отражая глобальные масштабы киберпреступности, эти сети состоят из членов, находящихся в разных странах, что усложняет схему отмывания денег. Однако правоохранительные органы успешно разоблачили преступные сети, оказывающие профессиональные услуги по отмыванию денег.
Группы программ-вымогателей получают платежи в криптовалюте от жертв прямо на свой специальный кошелек. Оттуда средства обычно направляются через микшер и автоматически распределяются между администраторами, партнером, проводящим атаку, и поставщиками услуг. Разделение прибыли, полученной аффилированным лицом, основано на его ранге, который определяется вероятностью успеха их атак и полученной криминальной прибылью. На начальном уровне партнерские доли невелики (около 20–40 % от выкупа), но на более высоких рангах они могут получать до 80 % прибыли, поскольку зарекомендовали себя как прибыльный деловой партнер для преступных групп, управляющих сервисом.
Киберпреступники, участвующие в кибератаках и связанных с ними услугах, а также те, кто торгует и администрирует торговые площадки даркнета, осуществляют свои финансовые операции почти исключительно в криптовалютах. По этой причине они широко используют методы запутывания, чтобы анонимизировать свою финансовую деятельность, прежде чем обналичивать незаконную прибыль. Эти методы включают использование миксеров, свопперов, внебиржевой торговли и децентрализованных бирж. Во многих случаях перед отправкой средств на биржи используются методы обфускации. Использование нескольких методов обфускации, развернутых друг над другом, является обычной практикой. Это требует от высококвалифицированных следователей использования различных методов для отслеживания криптовалюты (разделение на части, отслеживание межсетевых свопов, анализ пулов ликвидности и т. д.), что замедляет расследования. Тем не менее, микшеры являются наиболее часто встречающимся методом запутывания. Микшеры облегчают запутывание, смешивая средства многих пользователей вместе, скрывая финансовый след.
Преступные сети, занимающиеся мошенничеством, получают прибыль как в фиате, так и в криптовалютах. Отмывание их преступных средств обычно происходит очень быстро после того, как мошенничество имело место; это означает, что к тому времени, когда жертва осознает мошенничество, деньги уже распределены по счетам, зарегистрированным в нескольких странах, и отмыты. Онлайн-мошенники, в частности, часто используют игровые платформы для отмывания прибыли, поскольку их можно использовать для сокрытия происхождения и потоков средств, полученных незаконным путем.
Все вышеперечисленные типы киберпреступников используют денежных мулов для отмывания незаконных доходов, будь то в фиате или криптовалютах. Денежные мулы являются ключевыми помощниками в отмывании незаконных доходов, полученных в результате киберпреступности, поскольку они позволяют преступникам быстро перемещать средства по сети счетов, часто в разных странах.
В то время как финансовые мулы иногда вербуются на криминальных форумах, социальные сети остаются ключевой средой для вербовки. Иногда жертвы мошенничества невольно используются в качестве денежных мулов. Использование необанков наблюдалось в нескольких расследованиях уголовных преступлений, связанных с использованием денежных мулов.
Европейский экшн с денежным мулом – EMMA 812
В общей сложности 25 стран при поддержке Европола, Евроюста, Интерпола и Европейской банковской федерации (EBF) объединили свои усилия для проведения ежегодной повторной операции EMMA, направленной на борьбу с денежными мулами и их вербовщиками. В ходе оперативного этапа, проводившегося с середины сентября по конец ноября 2022 года, было выявлено 8 755 денежных мулов и 222 вербовщика, а 2 469 человек были арестованы по всему миру. При координации EBF около 1 800 банков и финансовых учреждений поддержали правоохранительные органы в этой акции, а также службы онлайн-переводов денег, криптовалютные биржи, компании Fintech и KYC, а также транснациональные корпорации компьютерных технологий. В некоторых случаях легкость открытия банковских счетов с использованием неправомерно использованных или украденных личных данных в значительной степени облегчает работу мулов. Во многих странах криптовалюты остаются основным средством обналичивания денег.
Следуя последним тенденциям, Азия и Африка являются конечными пунктами назначения многих незаконных транзакций. Несколько стран сообщили, что мулы, участвующие в соответствующих расследованиях, в основном из-за границы, и, следовательно, деньги отправляются с иностранных счетов.
Оценки экспертов Forbes
В конце января 2023 года Forbes в статье «Как хакеры ведут свою войну против России» привел мнения целого ряда экспертов.
«С развитием информационных технологий боевые действия стали вестись в том числе посредством вредоносного кода и взлома интернет-сервисов. В марте 2022 года количество кибератак, совершенных Украиной и Россией и от их имени, исследователи Check Point Software (CPR) называли «ошеломляющим». Около 400 тысяч международных хакеров вызвались помочь противостоять цифровым атакам России, заявлял президент CyberProof и один из бывших руководителей министерства разведки Израиля Юваль Воллман.
«Впервые в истории любой желающий может присоединиться к кибервойне, — рассуждал в интервью CNBC Лотем Финкельштейн, руководитель направления киберразведки CPR. — Мы видим участие всего киберсообщества, в котором группировки и отдельные лица приняли сторону либо России, либо Украины».
Власти на самом высоком уровне не раз заявляли о том, что против России ведется масштабная кибервойна. Так, 20 мая 2022 года Владимир Путин сообщил, что предпринимаются попытки вывести из строя интернет-ресурсы объектов критической информационной инфраструктуры (КИИ) России, в том числе финансовые учреждения, СМИ, социально значимые порталы и сети, официальные сайты органов власти и корпоративные сети ведущих российских компаний. В свою очередь, 1 июня 2022 года глава американского киберкомандования Пол Накасоне официально признал, что США проводили кибероперации в поддержку Украины «по всему спектру: наступательные, оборонительные и информационные». Не только США, но и многие другие западные страны открыто говорили, что оказывают поддержку Украине в киберпространстве.
24 февраля 2022 года. До и после
«С начала 2022 года успешно отражено почти 50 тысяч очень серьезных кибератак. Мы никогда ранее не подвергались такому нашествию». Такие цифры по атакам на автоматизированные системы управления привел 19 января 2023 года на совместном с главой Минцифры Максутом Шадаевым брифинге вице-премьер Дмитрий Чернышенко. В прошлом году российские компании столкнулись с беспрецедентным ростом кибератак, подтверждают эксперты. Изменился ландшафт киберугроз, выросла активность хактивистов и прогосударственных групп, пользуясь случаем, поднял голову киберкриминал, констатируют в Group-IB.
«Мы зафиксировали 21,5 млн веб-атак высокой степени критичности, причем почти 30% попыток взломов сайтов через веб-уязвимости были направлены на госсектор, — заявили Forbes в «РТК-Солар». — Если говорить про утечки, то за год общий объем выставленных на продажу или размещенных в открытом доступе данных россиян превысил рекордные 2,8 терабайта». По данным «Лаборатории Касперского», в 2022 году в России число DDoS-атак выросло на 60-70% по сравнению с 2021 годом. Причем в марте, по сравнению с февралем, количество таких атак увеличилось в восемь раз, отмечают в компании.
Опрошенные Forbes эксперты в сфере информбезопасности сходятся во мнении: жизнь ИБ-специалистов разделилась на до 24 февраля и после. «Повысилась интенсивность, частота и мощность кибератак. Прекратилась вендорская поддержка, преобладающее количество зарубежных вендоров средств защиты информации закрыли официальные каналы обновления сигнатур», — перечисляет Андрей Дугин, руководитель центра мониторинга и реагирования на кибератаки МТС SOC. С одной стороны, на какое-то время ИБ-специалисты оказались без привычного им инструментария (те, кто строил безопасность исключительно на зарубежных технологиях), с другой — стало понятно, что отечественный рынок кибербезопасности сегодня имеет все необходимые инструменты, методологии, подходы и средства защиты почти во всех категориях, объясняет директор экспертного центра безопасности Positive Technologies Алексей Новиков.
Указ президента РФ от 1 мая 2022 года№250 «О дополнительных мерах по обеспечению информационной безопасности РФ» зафиксировал итоги кибервойны и изложил новые обязательные меры по защите от кибератак. Документ распространяется на предприятия с госучастием (от ведомств до госфондов), стратегические предприятия, системообразующие организации и субъекты критической инфраструктуры. В частности, указ запрещает им использовать средства защиты из «недружественных» стран с 2025 года, а также обязывает назначить ответственных руководителей по информационной безопасности и создать спецотдел, отвечающий за это направление.
После 24 февраля сформировался тренд на постоянное опубличивание информации: каждый взлом инфраструктуры или слив данных становится достоянием общественности, замечает директор центра противодействия кибератакам Solar JSOC «РТК-Солар» Владимир Дрюков. «Чтобы получить эти данные, уже не надо идти в даркнет и пользоваться сложными схемами через теневые форумы, ведь утекшие базы и подробности атак открыто публикуются атакующими в Telegram, — говорит он. — И неважно, что большая часть этой информации является фейковой — все подобные сообщения создают нервное напряжение в обществе, поднимая панику как среди бизнеса, так и среди обычных граждан».
Прошлый год поставил рекорд по количеству утечек баз данных российских компаний — только за три летних месяца в сеть попало 140 баз, указывают в Group-IB. Однако, по словам экспертов, на фоне текущего геополитического кризиса у киберпреступников изменился мотив: не заработать, а нанести репутационный или экономический ущерб российскому бизнесу и его клиентам. Поэтому подавляющее большинство утечек баз данных российских компаний, которые появлялись в 2022 году на андеграундных форумах и тематических Telegram-каналах, были выложены бесплатно в публичный доступ.
Кроме того, зафиксирован резкий всплеск DDoS-атак, направленных на ухудшение работы ключевых инфраструктурных сервисов. «Это были сложные атаки, они комбинировали информационный разгон и DDoS, — объясняет руководитель отдела продвижения продуктов «Кода безопасности» Павел Коростелев. — Например, сначала вбрасывалась информация о том, что государство запретит снимать наличные деньги с карточек, а после этого хакеры пытались положить систему банка, чтобы усилить панику. Эта координация между информационной и кибератаками — довольно серьезный показатель уровня атакующих».
Необъявленная война
Противостояние в сфере кибербезопасности России и условного Запада началось, конечно, не в 2022 году — о нем говорили и прежде. Но на сегодняшний день какие-либо контакты по международной информационной безопасности заморожены — отказ от международного сотрудничества в части предотвращения и борьбы с киберпреступлениями, подтверждают собеседники Forbes на рынке информационной безопасности.
В целом наблюдались попытки изолировать интернет друг от друга, многие российские сервисы и компании теперь не пускают к себе из-за границы, и наоборот: в России теперь недоступны многие западные сервисы.
Хактивный процесс
В 2022 году существенно выросло количество финансово немотивированных атак. В 2015-2021 годах устойчиво росло число инцидентов с использованием вирусов-вымогателей. Однако после 24 февраля специалисты увидели резкий всплеск хактивизма — когда произвольные хакеры, выражая свою политическую позицию, пытались взломать сайты госорганизаций, СМИ, чтобы «продвинуть свой месседж».
Компьютеры хактивистов используют в качестве дополнительного ресурса для атаки на тот или иной объект. В Telegram появилось множество координационных чатов для хактивистов, что трудно было представить прежде.
Министр цифровой трансформации Украины Михаил Федоров лично объявлял о рекрутинге в IT-армию Украины. На начало 2023 года численность IT-армии, которая «заведует» массированными DDoS-атаками, оценивается экспертами более чем в 600 тысяч пользователей.
В сегодняшней кибервойне активное участие принимают два уровня злоумышленников, объясняет Дрюков из «РТК-Солар». Первый — киберхулиганы-энтузиасты, представленные организованным сообществом IT-армии Украины. Это «сочувствующие» хакеры, обладающие невысокой квалификацией. Их цель — нарушение целостности сайта (дефейс), взлом слабозащищенных ресурсов для слива информации и прочие действия, направленные на максимальное освещение итогов своей деятельности.
Второй — это кибернаемники. По словам эксперта, их цель — массовая дестабилизация информационного пространства и демонстрация уязвимости российской IT-инфраструктуры. Они используют разные методы: отключение инфраструктуры, массовые сливы персональных данных ключевых коммерческих компаний, нацеленные дефейсы на ключевых цифровых ресурсах (СМИ, госпорталы, телевещание). Их работы скоординированы, реализуются крайне быстро и с глубоким погружением в информационные и бизнес-процессы жертв. Последнее указывает на активную работу инсайдеров или наличие у хакеров подробных данных и контекста инфраструктуры в результате более ранних взломов».
Сложно установить организаторов и исполнителей кибератак, потому что используемый группировками инструментарий нередко перепродается или распространяется по сервисной модели.
Сами группировки с успехом мимикрируют друг под друга, а иногда объединяются и поглощаются друг другом по аналогии с бизнесом.
В целом эксперты выделяют выделить несколько основных категорий:
политически мотивированные активисты;
киберформирования на контракте;
сотрудники спецслужб и вооруженных сил.
Характер и направление наступлений
Уровень кибератак на российские организации в целом средний, это простые атаки: DDoS, фишинг, встраивание закладок в опенсорсные библиотеки разработки, эксплуатация известных уязвимостей, которая не требует глубоких знаний и реализуется довольно доступными инструментами, перечисляет технический руководитель направления анализа защищенности блока кибербезопасности МТС Алексей Кузнецов.
Отечественные решения сегодня разрабатываются фактически в боевых условиях: с учетом постоянных атак они проходят непрерывное тестирование на реальных кейсах, подтверждает директор экспертного центра безопасности Positive Technologies Алексей Новиков.
По словам Владимира Дрюкова, в центре внимания злоумышленников — государственные информационные системы: они содержат много конфиденциальных данных и напрямую влияют на жизнь страны, но их уровень киберзащиты далек от совершенства: «К тому же каждый подобный взлом подрывает репутацию государства. Также активно пытаются взламывать IT-компании, чтобы потом добраться до их клиентов. Сегодня взломы через подрядчика — это один из самых активно развивающихся векторов атак». Компании, которые являются более привлекательными целями (крупные государственные ресурсы, объекты КИИ, банки), часто неплохо защищены, поэтому если их и взламывали, то обычно через подрядчиков (supply chain attack), подтверждает источник в ИБ-индустрии: «Взламывают плохо защищенного подрядчика и используют его канал [для проникновения] в инфраструктуру конечной жертвы».
За 2022 стало больше ситуативных атак: в период отпусков активнее взламывали онлайн-кассы с билетами, в период вступительных экзаменов — сайты вузов, а на фоне новостей о поставках электроники для армии — онлайн-магазины с дронами, в День Победы — ресурсы, посвященные празднику. «Неприкасаемых нет, — констатируют в Group-IB. — Кибератаки касаются абсолютно всех». Отраслевые интересы группировок, атаковавших российские организации в 2022 году, распределились между госпредприятиями (30% случаев), IT-компаниями (16%), финансовым, энергетическим и промышленным сектором (по 10% случаев на каждый).
Жертвами становятся любые компании, до которых у хактивистов дотянутся руки. Хотя противоборствующая сторона и заявляет, что борется с государством, фактически до каких данных добираются, те и сливают.
Другая тенденция — увеличение длительности атак: теперь они измеряются не минутами, а неделями, указывает главный эксперт «Лаборатории Касперского» Сергей Голованов. Самая мощная DDoS-атака 2022 года достигла 760 Гбит/с, что почти в два раза превышает самую мощную атаку 2021 года, а самый продолжительный DDoS длился 2000 часов, то есть почти три месяца, добавляют в «РТК-Солар».
Почём атака
Эксперты не берутся оценивать общий размер направленных на киберпротивостояние средств, но ясно, что это «миллионы и миллионы долларов». Самый простой DDoS небольшого интернет-ресурса может стоить около $100, а цена заказной кибероперации на объект КИИ достигает $2 млн Важно, что сейчас есть немало сочувствующих, которые помогают киберзлоумышленникам бесплатно, например, предоставляя уже взломанные устройства для организации ботнетов или готовое вредоносное ПО.
Рассчитать точную стоимость APT-атаки (Advanced Persistent Threat, целевая продолжительная атака повышенной сложности) невозможно, в частности, из-за сложной оценки стоимости уникального ПО из арсенала группировки. Например, фишинговые рассылки — эффективный способ проникновения во внутреннюю сеть компании, сегодня к нему прибегают 90% APT-группировок. Общая стоимость инструментов для создания вредоносных вложений без учета стоимости эксплойтов для уязвимостей нулевого дня (т. е. уязвимость, обнаруженная злоумышленниками до того, как о ней узнали производители программы) составляет около $2000.
Каждая вторая действующая APT-группировка после проникновения во внутреннюю сеть использует легитимные инструменты для администрирования и коммерческие инструменты для тестов на проникновение, цена на которые варьируется от $8000 до $40 000. Набор инструментов для проведения атаки, направленной на кражу денег из банка, по нашим примерным подсчетам, может стоить от $55 000. Кибершпионская кампания обходится на порядок дороже — ее минимальный бюджет составляет $500 000.
Что происходит в 2023 году
В России в первом полугодии 2023 года на 27,9% выросло количество киберпреступлений по сравнению с тем же периодом прошлого года. Об этом 20 июля 2023 года сообщило МВД России.
Злоумышленники стали использовать новые более сложные техники, тактики и уязвимости нулевого дня. Существенно увеличивается количество атак вредоносного ПО и продолжатся мощные и сложные атаки на бизнес и сайты.