Вчора відвідав цікаву конференцію, яку організувалиВТБіАсоціація Корпоративних Скарбників«Оптимізація та забезпечення безпеки грошових потоків».
Сподобалася одна з доповідей щодо ситуації з кіберзагрозами, тезами якої я хотів би поділитися.
Кіберзагрози (Group-IB):
Статистика шахрайства в ДБО:
Загалом спостерігається зменшення таких загроз, як:
Розкрадання в інтернет банкінгу у ЮЛ (-12%)
Розкрадання в інтернет банкінгу у ФО (-100%)
Розкрадання у ФО з Андроїд троянами (-77%)
Цільові атаки на банки в РФ (-20%)
Переведення в готівку викрадає засобів (-26%)
Зростання тільки в фішинг: 6%.
Зниження загроз викликаний зниженням інтересу угруповань саме до РФ і перехід на менш захищені країни.
Однією з серйозних загроз для юридичних осіб є"BUHTRAP".
Kill chain:
Зараження - через поштові розсилки з шкідливим вкладенням маскуються під повідомлення від банку.
Обхід - UAC, mimimod для отримання записів ОС, RPD / VNC / LiteManager
Знищення - ОС і слідів роботи
Запуск - модуля автозаліва для «1С: Підприємство в браузері»
Обхід - захисту «1С: Підприємство" Контроль безпеки обміну з банком ".
У другій половині 18 року т.ч. було заражено понад 600 облікових записів ЮЛ.
Цілеспрямовані атаки на банки (угруповання, напрям ударів):
ANUNAK (інтернет-банкінг, АРМ КБР, SWIFT, Банкомати, платіжні шлюзи, картковий процесинг)
CORKOW (трейдинговие термінали, картковий процесинг, банкомати)
окремим варто BUHTRAP
LURK (АРМ КБР)
COBALT (банкомати, картковий процесинг, SWIFT, платіжні шлюзи)
MONEYTAKER (банкомати, картковий процесинг, АРБ КБР)
SILENCE (банкомати, картковий процесинг, АРБ КБР)
LAZARUS (SWIFT, картковий процесинг)
BLACKENERGY (саботаж)
АРМ КБР - автоматизоване робоче місце ЦБ РФ.
На даний момент активні останні 5 зі списку: COBALT, MONEYTAKER, SILENCE, LAZARUS (діє вже близько 5 років), Blackenergy.
Приклади атак:
01.2015 - Еквадор, Banco del Austro, викрадено 12 млн. Дол.
10.2015 - В'єтнам, Tien Phong Bank, викрадено 1,36 млн. Дол
02.2016 - Бангладеш, Центральний банк, Lazarus, спроба розкрадання 951 млн. Дол.
04.2016 - Україна, банк "Кредит Дніпро", Cobalt, викрадено 950к. дол зі спроби розкрадання 10 млн.
12.2016 - Туреччина, AkBank, Lazarus, викрадено 4 млн. Дол.
04.2017 - Б.Восток, ЛатАмеріка, Shadow Brokers опублікували відомості про атаки Equation Group (США) на SWIFT
12.2017 - Росія, банк, Cobalt, 1 млн. Дол викрадений з спроби в 5 млн. Дол.
01.2018 - Мексика, Bancomext, Presumably Lazarus, викрадено 110 млн. Дол.
02.2018 - Індія, 2 банки, викрадено 1,7 млн. та 1,87 млн. дол.
05.2018 — Чилі, Banco de Chile, Presumably Lazarus, перекращено 10 млн. дол.
Приклад атаки на брокерську систему:
18.09.2014 Зараження:
13:21 - Експлуатація вразливості
13:22 - Встановлення трояну
13:24 - Відправлення даних
Збір відомостей про систему:
19.09 – старт збору.
Вересень, жовтень та листопад - аналіз дій.
10.12 - запуск клавіатурного шпигуна
інцидент:
27.02.2015
12:30 - Віддалене управління системою
12:32 - Формування заявок на біржу
12:44 - Знищення системи
14 хвилин тривалість атаки.
Загрози для кріптовалютного ринку:
</ Strong>Приклад атаки:
Фішингових сайтів під китайську кріптобіржу Binance
Збір логінів і паролів трейдерів
Генерація API-ключів для автоматизованої роботи з біржею
протягом 2-х хвилин - генерація заявок від імені трейдерів на валюту Viacoin
зростання курсу Viacoin
Продаж Viacoin за Bitcoin за завищеним курсом
Найбільшою небезпекою для системи вважається подвійне списання коштів (double spending).
»Атака 51%"
Володіючи 51% потужності, атакуючий може створити прихований альтернативний блокчейн і використовувати його для підтвердження власних транзакцій.
Verge - атакуючий добув криптовалюта на суму понад 1 млн. Дол.
Bitcoin Gold - атакуючий добув криптовалюта на суму понад 18 млн. Дол.
SuperNova повідомив, про атаку «51%» на Verge.
ZenCash – атакуючий здобув криптовалюту на суму понад 550к. дол.
Litecoin Cash - Форк криптовалюти LTC зіткнувся з "атакою 51%"