Более десяти лет эксперты «Лаборатории Касперского» ежедневно расследуют различные инциденты кибербезопасности, и за этот долгий период методы злоумышленников не раз менялись. В этой публикации мы расскажем о русскоязычных киберпреступных группах и переменах в их поведении, которые произошли за последние пять лет. Мы рассмотрим, какие виды атак сегодня распространены, и факторы, которые на это повлияли, например, новые уязвимости и изменения в защите браузеров. Мы также разберемся, почему злоумышленники переходят на хорошо известную сегодня модель «киберпреступление как услуга»: все чаще используют облачные серверы, все реже — оригинальное вредоносное ПО; предпочитают работать в небольших гибких командах. В заключение мы проанализируем, как и почему изменились критерии выбора целей за несколько лет, и посмотрим, какие услуги преступники оказывают друг другу в теневом интернете.
Хотя отчет в основном посвящен группировкам, действующим в России, государственные границы редко ограничивают киберпреступников. Отличный пример тому — создатели шифровальщиков. Кроме того, тенденции, зафиксированные в одной стране, часто подхватывают кибергруппировки в других регионах. В этом отчете мы собрали информацию о том, как изменились методы работы киберпреступников, которую мы считаем важной и применимой на практике.
Анализ инцидентов
Отдел «Лаборатории Касперского» по расследованию компьютерных инцидентов специализируется на российских и русскоязычных киберпреступниках. Сервисы, которые мы предлагаем, включают анализ и расследование инцидентов, а также экспертную поддержку после кибератак, направленную на предотвращение и смягчение их последствий.
В 2016 году в центре внимания наших экспертов находились киберпреступные группы, атакующие финансовые организации. Среди них были крупные группировки, такие как Lurk, Buhtrap, Metel, RTM, Fibbit и Carbanak, которые терроризировали банки по всей стране. В итоге эти группы либо распались, либо их участники были арестованы — не без нашей помощи. Другие группы, такие как Cerberus, вышли из игры и выложили исходный код своих зловредов в открытый доступ.
Сегодня аппетиты киберпреступников не ограничиваются финансовой отраслью, однако, к счастью, время масштабных атак вроде тех, которые мы расследовали в 2016, прошло. Кроме того, изменения в законодательстве ограничили возможности финансовых учреждений пользоваться услугами сторонних подрядчиков, поэтому в 2020 году мы не расследовали ни одного инцидента в этом секторе.
В прошлом году мы расследовали для клиентов из России 200 инцидентов, а за девять месяцев 2021 года — уже более 300. Злоумышленники атаковали компании во всех отраслях: от IT и розничной торговли до нефтегазового сектора и здравоохранения. Ожидалось, что пандемия COVID-19 и связанный с ней переход на удаленную работу спровоцируют еще больше компьютерных инцидентов. Однако наши данные этого не подтверждают.
Ключевые тенденции
Экосистема киберпреступности включает множество участников, выполняющих разные функции. Ее неотъемлемые компоненты — инфраструктура и инструменты для атак — напрямую влияют на роли участников. Мы разберем основные изменения, произошедшие в сфере информационной безопасности в последние пять лет, и то, как они преобразили деятельность русскоязычных киберпреступных групп.
Уменьшение числа атак через клиентскую часть ПО
В это трудно поверить, но всего пять лет назад подцепить троянца можно было, просто зайдя на новостной сайт. Значительная часть вредоносного ПО в России распространялась через новостные платформы и другие легальные ресурсы — прямо с главной страницы. Этот вектор заражения все еще используется, но постоянное усиление защиты браузеров усложняет задачу злоумышленников. Раньше многие киберпреступники эксплуатировали уязвимости через легитимные веб-сайты. Вокруг этого процесса сформировался целый рынок, появились обслуживающие его люди.
Браузеры того времени были неудобными и небезопасными, в них было много уязвимостей. Люди обычно не выбирали браузер, а просто пользовались тем, к которому привыкли, или тем, который по умолчанию был установлен на рабочем компьютере — например, Internet Explorer. Атаки через плагины, такие как Adobe Flash, Silverlight и Java, были одним из самых простых и распространенных способов заразить устройство. Теперь они отходят в прошлое.
Современные браузеры намного безопаснее; некоторые из них даже обновляются автоматически, без участия пользователя. Разработчики такого ПО постоянно инвестируют в поиск и устранение уязвимостей. Более того, многие из них предлагают вознаграждение за найденные ошибки: продать информацию об уязвимостях разработчикам зачастую намного проще, чем искать покупателей в теневом интернете. Это привело к удорожанию уязвимостей. Кроме того, укрепление защиты браузеров усложнило распространение вредоносного ПО через веб-сайты и сделало этот вектор непривлекательным для киберпреступников. В результате подобные атаки на обычных пользователей стали слишком дорогими и нерентабельными.
Новый виток развития рынка уязвимостей
Приложения стали сложнее, их архитектура — совершеннее. Это в корне изменило методы русскоязычных киберпреступников.
Удорожание уязвимостей сделало атаки через клиентскую часть ПО, в основе которых лежит эксплуатация уязвимостей, слишком дорогими и сложными. Такие задачи, как поиск уязвимостей, разработка эксплойтов и их адаптация к разным операционным системам занимались целые команды. Чаще всего злоумышленники использовали уязвимости первого дня: они изучали последние исправления, выпущенные разработчиками, и писали эксплойты для только что закрытых уязвимостей. Поскольку обновление ПО занимало (и занимает) достаточно много времени, пользователи нередко откладывают его, создавая «окно», во время которого киберпреступники успевали заразить довольно много жертв.
Типичная цепочка заражения начиналась с компрометации веб-сайта (пять лет назад их защита была далека от совершенства) — напрямую или с помощью взлома учетной записи пользователя, управляющего ресурсом. Злоумышленник интегрировал в сайт фрагмент кода, например, невидимое для пользователей окно. И в какой-то момент жертва, которая продолжала пользоваться сайтом, загружала вредоносную страницу. Другой вариант атаки подразумевал компрометацию баннерной сети — рекламных объявлений, которые отображались на сайтах. Администраторы веб-ресурсов не могли повлиять на то, какие именно объявления демонстрируются пользователю. Также можно было просто купить переходы на конкретную вредоносную страницу. Все эти действия преследовали одну цель: привести пользователя на страницу, содержащую вредоносный код, чтобы воспользоваться уязвимостью его браузера.
Эта цепочка браузерной атаки, популярная в 2016 году, больше не используется
Желая увеличить масштабы заражения, киберпреступники разрабатывали наборы эксплойтов, рассчитанные на конкретные группы пользователей, и адаптировали эксплойты, загружаемые на устройства жертв. После запуска эксплойта злоумышленники выбирали, какую полезную нагрузку загрузить на зараженный компьютер. Та, в свою очередь, открывала удаленный доступ к устройству. На зараженной машине преступники запускали специальный загрузчик, чтобы оценить привлекательность цели, а затем (при условии, что жертва представляла для них интерес) загружали на компьютер определенное вредоносное ПО.
Когда такие браузерные атаки стали нецелесообразными и сложными в исполнении, многие выбыли из игры. Среди них были группы, которые покупали переходы его на страницы с вредоносным кодом, группы, занятые разработкой и продажей наборов эксплойтов, а также группы, которые тем или иным образом добывали доступ к конкретным устройствам (последние все еще существуют, но теперь они продают доступ другим игрокам).
Конечно, преступники по-прежнему используют уязвимости в клиентском ПО — просто теперь не в браузерах, а в офисных программах, которые эксплуатируют с помощью документов с поддержкой макросов (например, PDF или Word), обычно рассылаемых по электронной почте. Однако проводить такие атаки сложнее. Распространение вредоносного кода через документы не позволяет злоумышленникам получить обратную связь от жертвы до эксплуатации уязвимости или дополнительную информацию о целевом устройстве, тогда как браузеры автоматически сообщали, какие версии программ и плагинов установлены на компьютере. Теперь, когда преступники переключились на распространение вредоносных файлов с помощью фишинговых писем, им стало труднее получить такие сведения или отследить ход атаки. Более того, защитные механизмы почтовых серверов и таких приложений, как Microsoft Word, также препятствуют заражению: даже если письмо с вредоносным содержимым не будет перехвачено и дойдет до адресата, пользователь получит предупреждение при открытии опасного вложения.
Облачные серверы
Инфраструктура для коммуникации и хранения данных
Компании активно осваивают новые IT-сервисы — и киберпреступники делают то же самое. Облачные технологии развязали им руки, поскольку до этого злоумышленникам приходилось арендовать обычные серверы — в основном легально, хоть и под чужими именами. В 2016 году жалобы на серверы, связанные с подозрительной активностью, было намного проще игнорировать: некоторые организации специально для этого предлагали «непробиваемые» — bullet-proof — серверы. Однако со временем управлять ими стало сложно и не слишком прибыльно — из-за большого интереса к деятельности киберпреступников со стороны местных властей.
Злоумышленники также использовали взломанные серверы легитимных организаций для ретрансляции, чтобы сбить со следа специалистов по кибербезопасности и затруднить обнаружение командного центра. Иногда группы хранили на скомпрометированных серверах информацию, например украденную с устройств жертв. В результате для управления структурой, в которой данные рассредоточены по разным платформам, требовался персонал.
Облачные серверы облегчили жизнь киберпреступникам. Теперь в случае блокировки учетной записи из-за многочисленных жалоб они могут за пару минут перенести данные на другой сервер. Специальный администратор тоже больше не нужен — его работу стал выполнять поставщик услуг.
Отказ от разработки вредоносного ПО
Доступность нового эффективного вредоносного ПО — возможно, одна из самых пугающих современных тенденций. APT-группы по-прежнему вкладывают огромные средства и ресурсы в создание оригинальных вредоносных инструментов, однако рядовые киберпреступники выбирают более простой и дешевый путь, не подразумевающий разработку собственных зловредов и эксплойтов.
В теневом интернете все чаще появляется вредоносное ПО с открытым исходным кодом, созданное состоявшимися группами. Они бесплатно публикуют его в открытом доступе, позволяя новым игрокам легко начать криминальную карьеру. Так, создатели банковского троянца Cerberus раскрыли его исходный код в октябре 2020 года, а разработчики печально известного шифровальщика Babuk — в начале сентября 2021-го.
Кроме того, с развитием утилит и сервисов для тестирования на проникновение на черном рынке появились новые вредоносные инструменты. Созданные для легитимных целей, таких как оценка безопасности инфраструктуры или рисков проникновения в сеть, эти инструменты и сервисы предназначаются для продажи узкому кругу законопослушных организаций, но в конце концов неизбежно оказываются в плохих руках. Один из самых известных примеров — CobaltStrike. Декомпилированная версия этого инструмента утекла в Сеть в ноябре 2020 года, она активно используется как рядовыми киберпреступниками, так и APT-группами. Стоит также упомянуть:
- Bloodhound, излюбленный инструмент злоумышленников для составления топологии сети;
- Дистрибутивы ОС Kali и Commando для специализированной дистрибуции;
- Core Impact и Metaspoit Framework для эксплуатации уязвимостей;
- exe (SoftPerfect Network Scanner) на скомпрометированных компьютерах;
- легитимные сервисы для удаленного доступа — TeamViewer, AnyDesk и RMS/LMS.
Помимо перечисленного киберпреступники применяют изначально безвредные средства системного администрирования, такие как утилита PSexec, позволяющая удаленно запускать программы. Как и ожидалось, пандемия и связанный с ней переход на удаленную работу спровоцировали рост популярности таких инструментов.
Чтобы представить себе арсенал современных киберпреступников, достаточно изучить доступные решения для тестирования на проникновение.
В целом рынок разработки вредоносного ПО достиг своей зрелости. Сегодня обилие информации позволяет совершать киберпреступления с небывалой легкостью. В то же время атаковать компании стало сложнее: защитные системы становятся совершеннее, а осведомленность о кибербезопасности среди руководства и сотрудников организаций растет. Рынок решений для тестирования на проникновение тоже развивается благодаря крупным организациям, которые инвестируют в безопасность своих сетей.
Итоги
Оптимизация цепочки атаки — малочисленные группы
Такие изменения, как удорожание уязвимостей, переход на облачные серверы и появление доступных готовых инструментов для атаки, привели к сокращению численности киберпреступных групп. Передав многие задачи сторонним исполнителям, злоумышленники оптимизировали цепочку атаки, а их команды стали более гибкими.
Им больше не нужны системные администраторы для обслуживания физической инфраструктуры — облачные сервисы упростили этот аспект. Злоумышленники перестали создавать собственное вредоносное ПО. Если раньше крупным группам требовались как минимум два специалиста для разработки разных частей программы (например, клиентской и серверной), то теперь достаточно одного оператора. Тестировщики, как и разработчики, тоже больше не нужны. Длинные цепочки атаки, включающие эксплойты для разных уязвимостей, стали короче. Таким образом, создатели эксплойтов, которые специализировались на клиентской части, остались без работы.
Вместо покупки переходов на вредоносные сайты преступники покупают данные — для доступа к корпоративным сетям, учетным записям и т. д. Причем эту задачу тоже можно передать сторонним исполнителям.
Итого, для проведения успешной атаки в 2021 году киберпреступной группе нужны: руководитель; оператор вредоносного ПО; специалист, который обеспечит доступ к сети; и специалист по финансам, чтобы извлечь и обналичить украденные средства.
Что было и что стало: сравнение структуры киберпреступных групп в 2016 и 2021 годах
Неизвестно, что будут делать киберпреступники, которые в 2016–2017 годах сели в тюрьму и, освободившись, обнаружат, что их навыки никому не нужны. Сложно сказать, захотят ли они взяться за старое, но в любом случае на современном преступном рынке для них нет вакансий.
Новые цели
В 2016 году российские банки взламывали один за другим. Обычные пользователи тоже часто становились жертвами заражений и краж. Но когда участники крупных групп, атаковавших финансовые учреждения, были пойманы, русскоязычные киберпреступники переключились на другие отрасли. Их интересовал как крупный, так и малый бизнес. После 2016 года они поняли, что целевые атаки на различные организации за пределами финансового сектора — с использованием шифровальщиков, стилеров и средств удаленного доступа для проведения финансовых операций изнутри сети — также могу быть очень прибыльны.
В 2020-м число атак на финансовый сектор в России значительно сократилось, информации об инцидентах с использованием банковского ПО больше не поступало. Причин тому несколько: обновление местных нормативных требований к безопасности, усиление защиты банковских систем и, главное, смещение интересов киберпреступников в сторону Запада. Мы не можем утверждать, что операторы прежних атак на финансовые организации и участники действующих банд вымогателей — одни и те же люди. Но логично предположить, что преступники, оставшиеся без работы, переключились на новые и более привлекательные цели. Ранее мы выпустили отдельный обзор экосистемы русскоязычных шифровальщиков, поэтому не будем подробно останавливаться на этой теме.
Киберпреступники выбирают европейские и американские организации не по идеологическим соображениям. Прежде всего, они более платежеспособны, поэтому потенциальная прибыль от их заражения выше. Сумма выкупа для международных организаций начинается с 700 тысяч долл. США, с перспективой увеличения до 7 миллионов. А атакуя российские компании, вымогатели начинают со 100 тысяч долл. США и в среднем получают от 50 до 100 тысяч. Распространенность английского языка также делает западные компании более уязвимыми.
В то же время смещение интересов киберпреступников на Запад не означает, что они перестали атаковать российские организации. Большинству злоумышленников все еще мешает языковой барьер — фишинговые письма и документы все же проще составлять на родном языке. Владение им — единственное преимущество русскоязычного киберпреступника при атаках на российские компании. С другой стороны, выбирать такие цели более рискованно, поскольку выше вероятность быть раскрытым и арестованным.
Что касается целевых отраслей, то аппетиты преступников больше не ограничиваются финансовыми организациями. С появлением ботнетов образовался рынок данных для доступа к корпоративным сетям. Злоумышленники стали взламывать компании, работающие в самых разных отраслях, — без особого разбора и с единственной целью — продать в теневом интернете доступ к их активам. Пандемия также сыграла свою роль в развитии этого рынка: многие организации перевели большую часть инфраструктуры в интернет и открыли удаленный доступ для сотрудников, тем самым увеличив поверхность атаки и расширив возможности преступников для проникновения даже в хорошо защищенные сети. Как правило, операторы шифровальщиков выбирают наиболее доступные цели: компании, которые легче всего взломать для получения прибыли. Кроме того, преступников очень интересуют организации и пользователи, которые владеют криптовалютой или проводят операции с ней. Криптообменники, криптокошельки и прочие ресурсы являются привлекательными целями.
Некоторые тенденции и виды атак зафиксированы только на территории России и непосредственно связаны с русским языком. Например, вишинг (голосовой фишинг) с 2019 года, как ни удивительно, снова набрал популярность. В России довольно зрелая индустрия мобильного банкинга и хорошо развиты технологии IP-телефонии. Это позволяет преступникам с легкостью создавать подпольные колл-центры и выманивать деньги у обычных пользователей, почти не рискуя быть обнаруженными. Ежемесячный ущерб россиян от телефонного мошенничества составляет около 1 миллиарда рублей (13,8 миллиона долл. США).
Востребованные услуги
В теневом интернете также произошли изменения. Там по-прежнему действуют несколько популярных платформ, с помощью которых киберпреступники поддерживают связь и оказывают друг другу услуги, однако серьезные игроки все больше уходят в тень. Наглядный пример тому — операторы шифровальщиков, которых выгнали с популярных площадок из-за высокого интереса к их деятельности. Теперь они стараются взаимодействовать с другими игроками конфиденциально. Доступность защищенных мессенджеров позволяет киберпреступникам общаться напрямую, а не на форумах.
В теневом интернете больше нет объявлений о продаже уязвимостей и эксплойтов: по-настоящему ценные и редкие уязвимости нулевого дня реализуются напрямую избранным покупателям, а уязвимости первого дня — специализированным агентствам.
Однако многие услуги по-прежнему востребованы и легкодоступны на теневом рынке. Вот основные сервисы, которыми пользуются киберпреступники.
- Готовые учетные записи— чтобы пользоваться онлайн-сервисами (например, облачными), нужны электронные адреса и номера телефонов, а преступники, по понятным причинам, не хотят раскрывать свои данные. Предоплаченные SIM-карты в России запрещены — для регистрации пользователь обязан предоставить паспортные данные. Поэтому адреса электронной почты, привязанные к телефонным номерам, по-прежнему в цене.
- Доступ к учетным данным — помимо обычных комбинаций номера телефона и адреса электронной почты, преступники продают украденные данные от игровых, стриминговых, банковских и других аккаунтов. Эту информацию можно использовать в самых разных целях — от мошенничества до вывода денежных средств.
- Доступ к организациям — возможно, самый привлекательный тип предложений на рынке. Многие операторы специализируются на масштабных сетевых атаках с помощью ботнетов или эксплуатации уязвимостей первого дня. Проникнув в корпоративную сеть, они оценивают привлекательность компании и затем продают доступ другим киберпреступникам, которые в свою очередь используют его для сбора или шифрования корпоративных данных.
- DDoS-атаки — несмотря на усиление защиты против таких атак, они все еще востребованы.
- Персональные данные — в теневом интернете можно найти все больше самой разной информации о пользователях: от номеров банковских карт и паспортных данных, до медицинских сведений и данных для полного доступа к банковским счетам. Их стоимость начинается от 0,5 долл. США за единицу. О типах данных, доступных на теневом рынке, мы подробно рассказывали в нашем предыдущем отчете.
Заключение: киберпреступность и кибербезопасность развиваются вместе
Несколько лет назад злоумышленники экспериментировали с цифровым рынком и постоянно изобретали новые методы атаки на пользователей и организации. В 2021 году киберпреступное сообщество достигло своей зрелости. То же можно сказать и о кибербезопасности. Еще недавно организации понятия не имели, какие угрозы подстерегают их в интернете, но сегодня, после множества громких и разрушительных атак, люди стали более осторожными. Компании знают о потенциальных киберрисках и вкладывают средства, чтобы минимизировать их. Вот основные выводы из нашего анализа текущего состояния русскоязычной киберпреступности:
- Информация стала более доступной — как и вредоносное ПО. В интернете можно найти множество вредоносных инструментов. Это может быть украденный или добровольно раскрытый исходный код, разработанный печально известными кибергруппами прошлого, или легальные решения для тестирования на проникновение. Таким образом, киберпреступникам больше не нужно тратить время и ресурсы на создание зловредов.
- Кибербанды стали другими. Игроки в киберпреступном мире все меньше зависят друг от друга и больше не образуют постоянных групп для многолетнего сотрудничества.
- Группы работают как предприятия малого бизнеса и оказывают множество услуг. Киберпреступники эффективно используют аутсорсинг. Все, что им остается сделать самим, — это приобрести доступ к взломанной корпоративной сети и подходящие инструменты для его эксплуатации. В разработке вредоносного ПО и обслуживании физической инфраструктуры они больше не нуждаются.
- Русскоязычные киберпреступники вышли на международный уровень. В цифровом мире нет привычных границ, так что выбор целей ограничен исключительно языком, на котором говорят злоумышленники. Поэтому англоязычные страны остаются привлекательными для киберпреступников. Было бы слишком смело утверждать, что в 2016 году русскоязычные группы не работали за границей или что сейчас они полностью прекратили атаковать своих соотечественников. Тем не менее ужесточение преследования за атаки на российские организации и возможность получить больше прибыли от международных компаний укрепили негласное правило: do not work in RU («не работать по RU»). Так русскоязычные киберпреступники вышли на мировую арену.
- Целью может стать каждый. Поскольку многие организации начали использовать онлайн-сервисы, поверхность атаки существенно увеличилась, а получить доступ к корпоративным сетям стало проще. Киберпреступники, которые раньше атаковали только финансовые организации, сегодня выбирают своей целью любую компанию. Благодаря шифровальщикам они могут получить прибыль от каждой жертвы.
- Данные по-прежнему остаются ценным активом. Текущее состояние защиты персональных данных не внушает оптимизма. Несмотря на значительные усилия со стороны властей, личная информация пользователей по-прежнему утекает в сеть и используется для атак — с ее помощью преступники, например, могут зарегистрировать сервер или получить доступ к корпоративной сети. И в ближайшем будущем ситуация вряд ли изменится.
Стоит отметить, что состояние русскоязычной киберпреступности позволяет судить о глобальных проблемах информационной безопасности. В условиях «коллективной» экономики киберпреступного сообщества отследить деятельность конкретных групп стало намного труднее. Да и крупные хорошо организованные команды исчезли, превратившись в разрозненные группы людей, обладающих эффективными и доступными инструментами. Наша задача как ИБ-экспертов — быть на шаг впереди преступников: постоянно совершенствовать защиту и обучать людей, чтобы кибербезопасность стала приоритетом для каждого.
Развитие русскоязычной киберпреступности: что изменилось с 2016 по 2021 год