ФРОДЕКС. Андрей Луцкович. "Актуальные тренды развития...
Transcript of ФРОДЕКС. Андрей Луцкович. "Актуальные тренды развития...
АНДРЕЙ ЛУЦКОВИЧ
ГЕНЕРАЛЬНЫЙ ДИРЕКТОРООО ФРОДЕКС
Актуальные тренды развития угроз кибермошенничества в организациях
кредитно-финансовой сферы
www.frodex.ru
#CODEIB
Г. МИНСК14 АПРЕЛЯ 2016
Немного статистики за 2015 год
«Изучай прошлое, если хочешь предвидеть будущее» Конфуций
#CODEIB
Г. МИНСК14 АПРЕЛЯ 2016
Думаете, в стране финансовый
кризис и воровать нечего?
#CODEIB
Г. МИНСК14 АПРЕЛЯ 2016
Статистика ЦБ РФ: динамикаинцидентов в ДБО (2014-2015)
- объем несанкционированных списаний, млн. руб.
- количество несанкционированных операций в ДБО, ед.
Источник: Банк России. Обзор о несанкционированных переводах денежных средств. 2015 год
Наблюдается существенный рост
#CODEIB
Г. МИНСК14 АПРЕЛЯ 2016
Статистика ЦБ РФ: ДБО юр. лиц
- предотвращено, млн. руб.
- украдено, млн. руб.
Источник: Банк России. Обзор о несанкционированных переводах денежных средств. 2015 год
- количество инцидентов, ед.
#CODEIB
Г. МИНСК14 АПРЕЛЯ 2016
Статистика ЦБ РФ: ДБО юр. лиц
Источник: Банк России. Обзор о несанкционированных переводах денежных средств. 2015 год
- количество инцидентов, ед.
Какие суммы пытаются украсть чаще всего у клиентов – юридических лиц?
#CODEIB
Г. МИНСК14 АПРЕЛЯ 2016
Статистика ЦБ РФ: ДБО физ. лиц
- предотвращено, млн. руб.
- украдено, млн. руб.
Источник: Банк России. Обзор о несанкционированных переводах денежных средств. 2015 год
- количество инцидентов, ед.
#CODEIB
Г. МИНСК14 АПРЕЛЯ 2016
Статистика ЦБ РФ: ДБО физ. лиц
Источник: Банк России. Обзор о несанкционированных переводах денежных средств. 2015 год
- количество инцидентов, ед.
Какие суммы пытаются украсть чаще всего у клиентов – физических лиц?
#CODEIB
Г. МИНСК14 АПРЕЛЯ 2016
Статистика ЦБ РФ : итоги
Источник: Банк России. Обзор о несанкционированных переводах денежных средств. 2015 год
#CODEIB
Г. МИНСК14 АПРЕЛЯ 2016
ТРЕНД 2015 ГОДА:
АТАКИ НЕ НА КЛИЕНТОВ БАНКА, А НА БАНКИ
#CODEIB
Г. МИНСК14 АПРЕЛЯ 2016
ТРЕНД 2015 ГОДА:
Банк России отмечает смешение вектора атак в сторону кредитных организаций. Так инциденты, связанные с целевыми атаками на операционную инфраструктуру кредитных организаций и платежных систем, в 2015 году привели к финансовым потерям в размере более 900 млн руб.
Источник: Банк России. Обзор о несанкционированных переводах денежных средств. 2015 год
#CODEIB
Г. МИНСК14 АПРЕЛЯ 2016
ГРУППИРОВКА:
Группировки киберпреступников
Anunak (Carbanak)
СПЕЦИАЛИЗАЦИЯ: заражение банкоматов и дальнейшая кража средств,шпионаж, целевые атаки
КОГДА: с 2013 г., продолжает активно действовать
ОБЩИЙ УЩЕРБ: более 1 млрд. руб.
Источник: Аналитические отчеты компании Group-IB
#CODEIB
Г. МИНСК14 АПРЕЛЯ 2016
ГРУППИРОВКА:
Группировки киберпреступников
Corkow (Metel)
СПЕЦИАЛИЗАЦИЯ: банки (брокерские терминалы QUIK, TRANSAQ)
клиенты банков (кража через ДБО) расчетные системы
КОГДА: с 2011 г., продолжает активно действовать
Источник: Аналитические отчеты компании Group-IB
#CODEIB
Г. МИНСК14 АПРЕЛЯ 2016
ГРУППИРОВКА:
Группировки киберпреступников
Corkow (Metel)
август 2015:атака на Объединенную расчетную систему,кража 500 млн. руб.
февраль 2015:атака на банковский торговый терминал QUIK,ущерб около 200 млн. руб.
НАИБОЛЕЕ КРУПНЫЕ ИНЦИДЕНТЫ:
Источник: Аналитические отчеты компании Group-IB
#CODEIB
Г. МИНСК14 АПРЕЛЯ 2016
ГРУППИРОВКА:
Группировки киберпреступников
Buhtrap
СПЕЦИАЛИЗАЦИЯ: целевые атаки на банки (кража через АРМ КБР)
клиенты банков (кража через ДБО)
КОГДА: с 2014 г., продолжает активно действовать
ОБЩИЙ УЩЕРБ: около 1 млрд. руб.Источник: Аналитические отчеты компании Group-IB
#CODEIB
Г. МИНСК14 АПРЕЛЯ 2016
Группировка Buhtrap: хронология
По данным FinCERT, по состоянию на 1 марта 2016 г. подверглись атакам 19 банков, удалось предотвратить кражу средств на общую сумму 1,5 млрд. руб.
август 2015: 1 банк, 25 млн.руб.
октябрь 2015: 1 банк, 99 млн.руб.
ноябрь 2015: 2 банка, общая сумма 75 млн.руб.
декабрь 2015: 5 банков, общая сумма 571 млн.руб.
январь 2016: 2 банка, общая сумма 240 млн.руб.
февраль 2016: 2 банка, общая сумма 859 млн.руб.
март 2016: 2 банка, общая сумма 500 млн.руб.
#CODEIB
Г. МИНСК14 АПРЕЛЯ 2016
#CODEIB
Г. МИНСК14 АПРЕЛЯ 2016
Атака на АРМ КБР
#CODEIB
Г. МИНСК14 АПРЕЛЯ 2016
Атака на АРМ КБР
1 этап – рассылка письма
Потенциальной жертве приходит письмо с вложением. Текст письма, как правило, связан с деятельностью сотрудника
Вредоносный код в письмене обнаруживается антивирусами
#CODEIB
Г. МИНСК14 АПРЕЛЯ 2016
Атака на АРМ КБР
1 этап – рассылка письма#CODEIB
Г. МИНСК14 АПРЕЛЯ 2016
Атака на АРМ КБР
2 этап – запуск загрузчика
Вы все еще считаете, чтоRTF-документы безопасны?
Вложение к письму представляет собой RTF-документ, эксплуатирующий уязвимость CVE-2012-0158 (выполнение произвольного кода из-за переполнения буфера в библиотеке MSCOMCTL.OCX)
При открытии этого вложения автоматически запускается загрузчик, который из сети Интернет скачивает, а затем устанавливает специализированный троян
#CODEIB
Г. МИНСК14 АПРЕЛЯ 2016
Атака на АРМ КБР
3 этап – создание локальной bot-сети
Если вылечить один компьютер, через некоторое время он повторно
заражается от другого
Троян сканирует сеть и пытается заразить максимальное число компьютеров.
Функционал трояна:
кейлоггер
сборщик паролей
удаленный доступ из Интернет
подключение к другому компьютеру по RDP
уничтожение MBR-записи на жестком диске
►
►
►
►
►
#CODEIB
Г. МИНСК14 АПРЕЛЯ 2016
Атака на АРМ КБР
4 этап – поиск АРМ КБР
Мошенники детально разбираются с особенностями
работы с АРМ КБР в банке
При сканировании сети ищется не только компьютер с АРМ КБР (он может быть полностью отключен от сети), но и любой компьютер, где ведется работа с файлами формата АРМ КБР.
#CODEIB
Г. МИНСК14 АПРЕЛЯ 2016
Атака на АРМ КБР
5 этап – атака
Поддельные платежные поручения попадают на АРМ КБР даже если он
отключен от сети и обмен идет через USB Flash
В назначенный день X осуществляется атака – платежные поручения, отправляемые в АРМ КБР, либо модифицируются (меняется р/с получателя) без изменения числа платежных поручений, либо формируются дополнительные платежные поручения (порядка 2000 штук)
#CODEIB
Г. МИНСК14 АПРЕЛЯ 2016
Атака на АРМ КБР
6 этап – уничтожение следов
Администраторы банка в первую очередь пытаются восстановить
работоспособность сети, не проверяя платежи, отправленные через АРМ КБР
Троян имеет функционал очищения MBR-записи жесткого диска, после которой компьютер перегружается и становится неработоспособным.
#CODEIB
Г. МИНСК14 АПРЕЛЯ 2016
КАКИЕ ПРОГНОЗЫ?
#CODEIB
Г. МИНСК14 АПРЕЛЯ 2016
февраль 2016: исходники трояна BUHTRAP
выложены в свободный доступ#CODEIB
Г. МИНСК14 АПРЕЛЯ 2016
Теперь каждый школьник может взломать банк!
#CODEIB
Г. МИНСК14 АПРЕЛЯ 2016
Ускорение развития инструментов, через
публикацию исходных кодов – устойчивый тренд!
#CODEIB
Г. МИНСК14 АПРЕЛЯ 2016
#CODEIB
Г. МИНСК14 АПРЕЛЯ 2016
28 марта 2011 г. – раскрыты
исходники трояна Zeus
огромное число модификаций Zeus,
№1 по числу преступлений
#CODEIB
Г. МИНСК14 АПРЕЛЯ 2016
28 марта 2011 г. – раскрыты
исходники трояна Zeus24 июня 2013 г. – раскрыты
исходники трояна Carberp
огромное число модификаций Zeus,
№1 по числу преступлений
#CODEIB
Г. МИНСК14 АПРЕЛЯ 2016
28 марта 2011 г. – раскрыты
исходники трояна Zeus24 июня 2013 г. – раскрыты
исходники трояна Carberp
10 июля 2014 г. – раскрыты
исходники TinyBanker
27 мая 2014 г. – новый
троян Zberpогромное число модификаций Zeus,
№1 по числу преступлений
19 августа 2014 г. – раскрыты
исходники Dendroid
11 июля 2014 – новый
троян Kronos4 июня 2014 г.
самый популярный rootkit Root.Boot.Cidox
11 июня 2014 – новый
троян Pandemiya
#CODEIB
Г. МИНСК14 АПРЕЛЯ 2016
28 марта 2011 г. – раскрыты
исходники трояна Zeus24 июня 2013 г. – раскрыты
исходники трояна Carberp
10 июля 2014 г. – раскрыты
исходники TinyBanker
27 мая 2014 г. – новый
троян Zberpогромное число модификаций Zeus,
№1 по числу преступлений
19 августа 2014 г. – раскрыты
исходники Dendroid
11 июля 2014 – новый
троян Kronos 4 июня 2014 г.самый популярный rootkit
Root.Boot.Cidox11 июня 2014 – новый
троян Pandemiya
?
?
?
?
?
?
#CODEIB
Г. МИНСК14 АПРЕЛЯ 2016
НОВАЯ РЕАЛЬНОСТЬ – СЕТЬ БАНКА НЕ ДОВЕРЕННАЯ СРЕДА
• отказ от традиционности мышления (внутренняя, внешняя сеть)
• отсутствие знания и понимания того, что сейчас происходит – путь к провалу
• план действий на случай пожара есть, а на случай атаки нет
#CODEIB
Г. МИНСК14 АПРЕЛЯ 2016
Реинкарнация вирусных технологий, отработанных на клиентах банка!
СМЕНА ЦЕЛИ: ОТ КЛИЕНТОВ К БАНКУ
#CODEIB
Г. МИНСК14 АПРЕЛЯ 2016
Звонок в БАНК – по очень важному делу!
• отправка в одной сессии несколько платежей – как на «подтвержденных» получателей, так и на мошенников
• звонок в банк, от имени клиента, на повышенных тонах требование не задерживать платежи, «новый» номер телефона для связи.
• обратный звонок по срабатыванию системы антифрода по «новому» телефону -платежи подтверждают как созданные клиентом.
РИСК - ДЕЛО БЛАГОРОДНОЕ!
#CODEIB
Г. МИНСК14 АПРЕЛЯ 2016
Насколько полезен межбанковский обмен информацией о реквизитах получателей - мошенников?
Повторяемость мошеннического платежа на дроперадовольно большая, хотя большинство мошенническихплатежей идут на неизвестных получателей
Зафиксирован даже мошеннический платеж, информация о получателе – мошеннике которого пришла 3 года назад
НАБЛЮДАЕТСЯ ПОВТОРЯЕМОСТЬ!
#CODEIB
Г. МИНСК14 АПРЕЛЯ 2016
Данные подготовлены по результатам расследований компанией Фродекс реальных инцидентов
НОВИЧКИ РАБОТЯГИ ПРОФИ
появились летом 2014 года «работают» с 2013 года «работают» с 2013 года
1. работают с «левых» IP2. мало опыта работы в
интерфейсе ДБО
1. работа в proxy-режиме2. проброс USB-портов
Работа в режиме удаленного управления компьютером жертвы
#CODEIB
Г. МИНСК14 АПРЕЛЯ 2016
ВСЕ МОШЕННИЧЕСКИЕ ПЛАТЕЖИ СОЗДАНЫ ВРУЧНУЮ!
СПАСИБО ЗА ВНИМАНИЕ!
АНДРЕЙ ЛУЦКОВИЧООО ФРОДЕКС,
ГЕНЕРАЛЬНЫЙ ДИРЕКТОР
www.frodex.ru
#CODEIB
Г. МИНСК14 АПРЕЛЯ 2016