Сейчас сайт загрузится,
пожалуйста, подождите

Global Cyber Security Company

Основана в 2003 году

1 2 2 7 8 9 0 0 2 3 4 5 6 7 1 2 5 6 7 8 9 3

Год основания Group-IB

Выход на международный рынок

Крупнейшая в Восточной Европе лаборатория компьютерной криминалистики

Создание центра реагирования на инциденты информационной безопасности CERT-GIB

Global Cyber Security Company

Компания Group-IB при участии экспертов центра реагирования на компьютерные инциденты CERT-GIB провела исследование состояния и динамики развития современного рынка компьютерных преступлений и актуальных киберугроз за 2012 год и первый квартал 2013 года.

В настоящем отчете рассматриваются актуальные угрозы информационной безопасности, анализируются тенденции интересов мира киберпреступности, даются статистические оценки рынка киберпреступности, приводятся прогнозы относительно его изменения в ближайшее время (2014-2015 г.г.).

Получите персональную ссылку

Одноразовая ссылка на скачивание будет выслана на указанный адрес

Оценка объемов рынка киберпреступности в РФ

Интернет-мошенничество

Мошенничество в системах интернет-банкинга

Обналичивание других нелегальных доходов

Фишинг

Хищение электронных денег

$490 млн

$122 млн

$55 млн

$30 млн

$697 млн

СПАМ

Медикаменты и различная контрафактная продукция

Поддельное ПО

Другое (дейтинг, образование, сфера услуг, путешествия и т.д.)

$142 млн

$135 млн

$553 млн

$830 млн

Внутренний рынок (C2C)

Продажа трафика

Продажа эксплойтов

Продажа загрузок

Анонимизация

$153 млн

$41 млн

$27 млн

$9 млн

$230 млн

DDoS-атаки

$130 млн

Иное

$168 млн

Интернет-мошенничество

Мошенничество в системах интернет-банкинга

Обналичивание других нелегальных доходов

Фишинг

Хищение электронных денег

$446 млн

$89 млн

$57 млн

$23 млн

$615 млн

СПАМ

Медикаменты и различная контрафактная продукция

Поддельное ПО

Другое (дейтинг, образование, сфера услуг, путешествия и т.д.)

$173 млн

$120 млн

$493 млн

$786 млн

Внутренний рынок (C2C)

Продажа трафика

Продажа эксплойтов

Продажа загрузок

Анонимизация

$167 млн

$52 млн

$33 млн

$9 млн

$261 млн

DDoS-атаки

$109,8 млн

Иное

$166 млн
Снижение объемов мошенничества
По оценке Group-IB, в 2012 году общий объем рынка киберпреступности в РФ снизился на 6%, причем в основном благодаря снижению суммы хищений из систем онлайн-банкинга. Среди главных причин такого снижения, специалисты Group-IB выделяют:
  • Успешные операции по ликвидации преступных групп;
  • Организация межбанковского списка дропов;
  • Внедрение банками анти-фрод решений;
  • Мониторнг бот-сетей и извлечение скомпрометированных данных.
Рост спам-продаж контрафакта
Несмотря на общее снижение объема рынка спама, стоит отметить 22%-й рост объемов продаж различной контрафактной продукции через спам-рассылки: поддельных медикаментов, реплик часов и аксессуаров. Это изменение связано с общим развитием данного нелегального бизнеса и появлением новых партнерских программ.
Рост издержек кибер-преступников
Интерес представляет также рост внутреннего C2C-рынка на 13%, свидетельствующий об увеличении инфраструктурных расходов на организацию бот-сетей и распространение вредоносного ПО. Эта тенденция связана с общим ростом защищенности клиентских рабочих станций и технологическим развитием используемого ПО.

В 2012 году в России ежедневно соверша- лось в среднем
44 хищения из систем ДБО

В 2011 году был разработан и начал активно применяться модуль автозалива для вредоносного ПО Carberp

DUMP MEMORY GRABBER» осуществляет хищение дампов карт памяти уязвимых кассовых компьютеров

Направленные атаки на банки

За последние полтора года специалистами Group-IB было зафиксировано как минимум 6 случаев получения прямого доступа к IT-инфраструктуре крупных финансовых организаций, причем в некоторых случаях имели место крупные хищения денежных средств — сотни миллионов рублей.

Использование "автозаливов"

Хотя объем хищений из ДБО в России и снизился, общая цифра все равно осталась очень высокой. Во многом это объясняется применением новых техник осуществления хищений, в частности активным использованием так называемых «автозаливов» против популярных коробочных систем ДБО.

Атаки на клиентов онлайн-трейдинга

В 2012 году специалисты Group-IB впервые зафиксировали случаи прямого заражения компьютеров с целью кражи ключей и параметров доступа к системам онлайн-трейдинга, таким как QUICK и FOCUS IV online. И хотя как таковых хищений зафиксировано пока не было, эти инциденты явно указывают на новый интерес злоумышленников.

Троян для кассовых терминалов

В рамках работы системы Group-IB Bot-Trek была выявлена вредоносная сеть на базе зловредного ПО DUMP MEMORY GRABBER, нацеленного на инфицирование кассовых компьютеров в точках продаж (POS). В результате успешной операции, были извлечены данные о тысячах скомпрометирован- ных карт крупнейших банков США: Chase, Capital One, Citibank и др. Данные были переданы банкам и ФБР для проведения расследования.

Атаки на мобильные ОС

Перенос этапа подтверждения транзакций на мобильные устройства заставляет мигрировать туда же и вредоносное ПО, причем злоумышленники используют весьма хитроумные уловки для инфицирования пользовательских устройств клиентов крупнейших банков.

Аудит и пентест

За последние полтора года специалисты Group-IB проанализировали десятки систем ДБО, web-сервисов и мобильных приложений.

Работа в этом направлении оказалась очень полезной для клиентов Group-IB: в среднем, в каждом исследованном ресурсе было обнаружено 6 значительных уязвимостей.

Преступная группа снимала офис в центре Москвы под прикрытием центра восстановления данных

Среднесуточный прирост ботнета составлял более
30 000 новых инфицированных компьютеров

Участники престпуной группы совершили более
5 000 хищений у физических и юредических лиц

Ликвидация преступных групп

Одно их важнейших направлений деятельности Group-IB касается работы по проведению расследований и ликвидации преступных групп, осуществляющих хищения из финансовых учреждений. Ниже описано несколько интересных кейсов, о которых уже можно говорить публично.

Группа Carberp

В 2008 году была создана преступная группа Carberp, состоявшая как минимум из 8 человек, которые за 4 года деятельности совершили тысячи хищений у юридических лиц по всей территории РФ. Эффективность деятельности злоумышленников была столь высока, что для комфортной работы «заливщиков» руководителями преступной группы был открыт офис, который функционировал под видом компании по восстановлению данных.

В 2010 году Group-IB приступила к расследованию деятельности группы, а 14 марта 2012 года в результате совместной операции с подразделениями ФСБ и МВД России было задержано 8 участников данной группы, у которых при обыске было изъято 7.5 млн. рублей наличными.

Группа Hodprot

2009 году появилась преступная группа Hodprot, специализировавшаяся на хищении денежных средств с банковских счетов юридических лиц. В начале своей преступной деятельности мошенники использовали вредоносную программу Hodprot, а в 2011 году перешли на Carberp.

В общей сложности за время работы группы им удалось инфицировать более 6 миллионов компьютеров на территории РФ и СНГ. Доступ к панели управления ботнетом имели в общей сложности 19 пользователей, большая часть из которых были заливщиками.

Организатор группы Germes строил большие планы по развитию нелегального бизнеса, для чего планировал найм квалифицированных разработчиков из Китая, которым предполагалось предложить переезд на территорию РФ. 16 мая 2012 года УЭБиПК ГУ МВД России по городу Москве при участии экспертов Group-IB провели первое задержание участников данной преступной группы, в результате чего были задержаны 6 человек. 5 июня 2012 года сотрудниками ЦИБ ФСБ и БСТМ МВД России был успешно задержан организатор преступной группы — Germes.

Задержание Hameleon

В конце декабря 2011 года и январе 2012 года начался всплеск случаев хищений у физических лиц. Данные хищения были объединены следующей особенностью: непосредственно перед хищением пользовательские телефоны, на которые приходили sms-сообщения с одноразовыми паролями, переставали работать.

В результате проведенного Group-IB расследования была изучена и зафиксирована преступная схема, включаяющая в себя ряд этапов, таких как инфицирование пользователя, сбор доп. Информации про помощи web-инжектов, клонирование его сим-карты и само хищений денежных средств.

29 мая 2012 года Управлением «К» МВД России при участии специалистов Group-IB был задержан сорокалетний житель Тольятти, занимавшийся технической составляющей преступной схемы: разработкой инжектов и администрированием серверов. Сразу же после задержания злоумышленник дал признательные показания.

Работа CERT-GIB

В рамках работы центра по реагированию на инциденты информационной безопасности CERT-GIB, за 2012 год было обработано более 3200 обращений.

Закрытие ботнетов

Одним из важных результатов проводимой работы является препятствование функционированию бот-сетей и закрытие командных центров ботнетов. Ниже рассматриваются 4 наиболее интересных примера.

Dragon

В конце 2012 года на несколько банковских сетей была проведена DDoS-атака. В результате проведенного расследования было установлено, что к атаке причастна бот-сеть с названием Dragon. После точного определения местонахождения злоумышленника к нему была отправлена группа оперативных сотрудников совместно с криминалистами Group-IB. В результате успешно проведенной операции киберпреступник (24-летний мужчина) был задержан; ботнет, общая сумма ущерба от деятельности которого оценивается экспертами в десятки тысяч долларов США, ликвидирован.

Grum

Летом 2012 года в рамках взаимодействия с компанией FireEye специалисты Group-IB и CERT-GIB заблокировали работу бот-сети Grum, считавшейся третьей по величине в мире. Этот ботнет активно использовался для рассылки рекламных сообщений в рамках работы с партнерскими программами, занимающимися реализацией контрафактных медикаментов ("Виагра", "Сиалис" и пр.).

Slenfbot

В июне 2012 года центром реагирования на инциденты CERT-GIB были выявлены серверы управления бот-сетью Slenfbot. В результате международного взаимодействия данная бот-сеть была успешно отключена.

Virut

В январе 2013 года проект SpamHaus объявил об отключении бот-сети Virut – червя, который распространялся через съемные носители и общие сетевые папки. Virut был впервые обнаружен в 2006 году и был признан серьезной угрозой: бот-сеть насчитывала более 300 000 зараженных компьютеров. Ранее Spamhaus уже предпринимал неоднократные безуспешные попытки отключения этой бот-сети. В процессе описываемой операции по ликвидации Virut проект Spamhaus взаимодействовал с CERT.pl, Austrian CERT и CERT-GIB. Все российские ресурсы были отключены в течение нескольких часов именно в результате сотрудничества с Group-IB.