27 квітня 2025 року

Cyber ​​threats: дистанційне банківське обслуговування, брокерські рахунки, криптовалюта

Вчора відвідав цікаву конференцію, яку організувалиВТБіАсоціація Корпоративних Скарбників«Оптимізація та забезпечення безпеки грошових потоків».
Сподобалася одна з доповідей щодо ситуації з кіберзагрозами, тезами якої я хотів би поділитися.

Кіберзагрози (Group-IB):
 
Статистика шахрайства в ДБО:
Загалом спостерігається зменшення таких загроз, як:

  • Розкрадання в інтернет банкінгу у ЮЛ (-12%)
  • Розкрадання в інтернет банкінгу у ФО (-100%)
  • Розкрадання у ФО з Андроїд троянами (-77%)
  • Цільові атаки на банки в РФ (-20%)
  • Переведення в готівку викрадає засобів (-26%)
  • Зростання тільки в фішинг: 6%.

    Зниження загроз викликаний зниженням інтересу угруповань саме до РФ і перехід на менш захищені країни.

    Однією з серйозних загроз для юридичних осіб є"BUHTRAP". 

    Kill chain:

  • Зараження - через поштові розсилки з шкідливим вкладенням маскуються під повідомлення від банку.
  • Обхід - UAC, mimimod для отримання записів ОС, RPD / VNC / LiteManager
  • Знищення - ОС і слідів роботи
  • Запуск - модуля автозаліва для «1С: Підприємство в браузері»
  • Обхід - захисту «1С: Підприємство" Контроль безпеки обміну з банком ".
  • У другій половині 18 року т.ч. було заражено понад 600 облікових записів ЮЛ.

    Цілеспрямовані атаки на банки (угруповання, напрям ударів):

  • ANUNAK (інтернет-банкінг, АРМ КБР, SWIFT, Банкомати, платіжні шлюзи, картковий процесинг)
  • CORKOW (трейдинговие термінали, картковий процесинг, банкомати)
  • окремим варто BUHTRAP
  • LURK (АРМ КБР)
  • COBALT (банкомати, картковий процесинг, SWIFT, платіжні шлюзи)
  • MONEYTAKER (банкомати, картковий процесинг, АРБ ​​КБР)
  • SILENCE (банкомати, картковий процесинг, АРБ ​​КБР)
  • LAZARUS (SWIFT, картковий процесинг)
  • BLACKENERGY (саботаж)
  • АРМ КБР - автоматизоване робоче місце ЦБ РФ.

    На даний момент активні останні 5 зі списку: COBALT, MONEYTAKER, SILENCE, LAZARUS (діє вже близько 5 років), Blackenergy. 

    Приклади атак:

  • 01.2015 - Еквадор, Banco del Austro, викрадено 12 млн. Дол.
  • 10.2015 - В'єтнам, Tien Phong Bank, викрадено 1,36 млн. Дол
  • 02.2016 - Бангладеш, Центральний банк, Lazarus, спроба розкрадання 951 млн. Дол.
  • 04.2016 - Україна, банк "Кредит Дніпро", Cobalt, викрадено 950к. дол зі спроби розкрадання 10 млн. 
  • 12.2016 - Туреччина, AkBank, Lazarus, викрадено 4 млн. Дол.
  • 04.2017 - Б.Восток, ЛатАмеріка, Shadow Brokers опублікували відомості про атаки Equation Group (США) на SWIFT
  • 12.2017 - Росія, банк, Cobalt, 1 млн. Дол викрадений з спроби в 5 млн. Дол.
  • 01.2018 - Мексика, Bancomext, Presumably Lazarus, викрадено 110 млн. Дол.
  • 02.2018 - Індія, 2 банки, викрадено 1,7 млн. та 1,87 млн. дол. 
  • 05.2018 — Чилі, Banco de Chile, Presumably Lazarus, перекращено 10 млн. дол.
  • Приклад атаки на брокерську систему:

    18.09.2014 Зараження:
    13:21 - Експлуатація вразливості
    13:22 - Встановлення трояну
    13:24 - Відправлення даних

    Збір відомостей про систему:
    19.09 – старт збору.
    Вересень, жовтень та листопад - аналіз дій.
    10.12 - запуск клавіатурного шпигуна

    інцидент:
    27.02.2015
    12:30 - Віддалене управління системою
    12:32 - Формування заявок на біржу
    12:44 - Знищення системи 

    14 хвилин тривалість атаки. 

    Загрози для кріптовалютного ринку:

    </ Strong>Приклад атаки:

  • Фішингових сайтів під китайську кріптобіржу Binance
  • Збір логінів і паролів трейдерів
  • Генерація API-ключів для автоматизованої роботи з біржею
  • протягом 2-х хвилин - генерація заявок від імені трейдерів на валюту Viacoin
  • зростання курсу Viacoin
  • Продаж Viacoin за Bitcoin за завищеним курсом
  • Найбільшою небезпекою для системи вважається подвійне списання коштів (double spending).

    »Атака 51%&quot;

    Володіючи 51% потужності, атакуючий може створити прихований альтернативний блокчейн і використовувати його для підтвердження власних транзакцій.

  • Verge - атакуючий добув криптовалюта на суму понад 1 млн. Дол.
  • Bitcoin Gold - атакуючий добув криптовалюта на суму понад 18 млн. Дол.
  • SuperNova повідомив, про атаку «51%» на Verge.
  • ZenCash &#8211;  атакуючий здобув криптовалюту на суму понад 550к. дол.
  • Litecoin Cash - Форк криптовалюти LTC зіткнувся з "атакою 51%"