Group-IB: 2019 установил рекорд по числу блокировок фишинговых ресурсов | F.A.C.C.T.

Group-IB: 2019 установил рекорд по числу блокировок фишинговых ресурсов

Group-IB, международная компания, специализирующаяся на предотвращении кибератак, заблокировала более 14 000 фишинговых ресурсов за 2019-й год, что фактически втрое больше, чем годом ранее. Среди ключевых тенденций эксперты Центра реагирования на инциденты кибербезопасности CERT-GIB отмечают смещение фокуса атак на пользователей облачных хранилищ как в B2C, так и B2B сегментах, а также переход фишеров с создания единичных мошеннических страниц на целые «сетки» сайтов под определенные бренды, что обеспечивает непрерывность их функционирования и устойчивость к блокировкам.

Гидра фишинга

Во второй половине 2019 в ходе работ по обнаружению и нейтрализации угроз, распространяющихся в сети Интернет, CERT-GIB заблокировал 8 506 фишинговых ресурсов, в то время как годом ранее этот показатель составлял 2 567. В целом, в 2019 году было заблокировано 14 093 фишинговых страниц, а годом ранее 4 494. Резкий рост числа блокировок объясняется не только эффективностью обнаружения и детектирования преступных схем, но также изменением тактики фишеров, в результате чего увеличилась продолжительность фишинговых атак: в предыдущие годы злоумышленники по большей части прекращали свои кампании после блокировки мошеннических веб-ресурсов и быстро переключались на другие бренды. Сегодня они продолжают работу, создавая все новые страницы на смену заблокированным. Как следствие, еще одним трендом прошлого года стало усложнение и расширение инфраструктуры для реализации фишинговой атаки.

Облачная цель

Распределение веб-фишинга по целевым категориям 2018 vs. 2019

Распределение веб-фишинга по целевым категориям 2018 vs. 2019

В прошлом году наибольшее число фишинговых страниц было нацелено на онлайн-сервисы (29,3%), облачные хранилища (25,4%) и финансовые организации (17,6%). Данные CERT-GIB говорят о том, что в прошлом году злоумышленники пересмотрели «пул» своих жертв. Так, число фишинга под облачные хранилища практически удвоилось, а количество мошеннических страниц, нацеленных на пользователей Интернет-провайдеров, возросло втрое. Ценность доступа к облачному хранилищу пользователя или его личному кабинету на сайте Интернет-провайдера понятна: «охота», как всегда, идет за персональными или платежными данными, которые могут там храниться. Рост интереса к атакам на облачные хранилища и Интернет-провайдеров сопровождался снижением объема фишинга под почтовые сервисы их доля в общем количестве фишинговых ресурсов упала с 19,9% до 5,9% и криптовалютные проекты.

Чемпионы по фишингу: Россия обошла США

Топ-10 стран, лидирующих по хостингу фишинга в 2019 году

Топ-10 стран, лидирующих по хостингу фишинга в 2019 году

2019 год ознаменовал собой смену страны-лидера по хостингу фишинговых ресурсов: США (27%), которым принадлежало первенство на протяжении последних нескольких лет, уступили место России (34%). Обладатель третьего места на этом пьедестале остался неизменным Панама является обладательницей «бронзы», на нее пришлось 8% блокировок.

В прошлом году в этот рейтинг наряду с тремя лидерами попали Германия, ЮАР, Великобритания, Нидерланды, Канада, Малайзия и Франция.

Доставка ВПО: что в меню?

Второе полугодие 2019 года не внесло никаких изменения в тренд последних нескольких лет: электронная почта осталась основным каналом доставки ВПО шифровальщиков, банковских троянов, бэкдоров и использовалась злоумышленниками в 94% изученных кейсов. В большинстве случаев (98%) ВПО пряталось во вложениях, лишь 2% фишинговых писем содержали ссылки, ведущие на загрузку вредоносных объектов. Для сравнения: в первом полугодии 2019-го 23% фишинговых писем содержали ссылки. Такая статистика может говорить о том, что письма с вложениями имеют для атакующих большую эффективность.

Для обхода корпоративных средств защиты, злоумышленники продолжили архивировать вредоносные вложения. Во второй половине 2019 года в архивах доставлялось около 70% всех вредоносных объектов, в основном, для этого использовались форматы .rar (29%) и .zip (16%). Сам пароль для расшифровки содержимого злоумышленники указывали в письме с вредоносным вложением, в теме письма или в названии архива, либо, в ходе дальнейшей переписки с жертвой.

Топ-10 угроз фишинговых рассылок во второй половине 2019 года и расширение вредоносных вложений

Топ-10 угроз вредоносных рассылок во второй половине 2019 года и расширение вредоносных вложений

Шифровальщики остались самой распространенной «начинкой» фишинговых писем во второй половине прошлого года они составили 47% от общего числа вредоносных вложений. Банковские трояны, в ключе тренда, сформулированного в отчете Group-IB Hi-Tech Crime Trends Report 2019/2020, продолжили терять популярность и были обнаружены лишь в 9% вредоносных кампаний, уступив место шпионскому ПО и бэкдорам (35%). Такая перемена может быть обусловлена растущим функционалом бэкдоров, которые также могут быть использованы для похищения финансовой информации.

В Топ-10 инструментов, использовавшихся злоумышленниками в атаках, зафиксированных CERT-GIB во второй половине 2019, вошли шифровальщик Troldesh (55%); бэкдоры Pony (11%), Formbook (5%), Nanocore (4%) и Netwire (1%); банкеры RTM (6%) и Emotet (5%); и шпионское ПО AgentTesla (3%), Hawkeye (2%), и Azorult (1%). AgentTesla, Netwire и Azorult стали новыми угрозами наблюдаемого периода.

Во второй половине 2019 года мы наблюдали рост продолжительности фишинговых атак атакующие изменили подход к запуску своих вредоносных кампаний, увеличив их ресурсную базу. Облачные хранилища и онлайн-сервисы останутся основными мишенями операторов фишинговых атак из-за большого количества хранящейся там личной информации. Подобные мишени позволяют атакующим сначала выгружать чувствительные данные, а потом шантажировать своих жертв, требуя от них выкуп.

Ярослав Каргалев
Ярослав Каргалев

заместитель руководителя CERT Group-IB

Напомним, что Центр круглосуточного реагирования на инциденты информационной безопасности CERT-GIB один из первых частных CERT в Восточной Европе, открытый в 2011 году. CERT-GIB остается одним из крупнейших в Восточной Европе. На базе CERT-GIB развернут Security Operation Center (SOC), специалисты которого отрабатывают события кибербезопасности в российских и международных компаниях, использующих различные системы защиты, в том числе, систему обнаружения целевых атак Threat Detection System (TDS), систему мониторинга, анализа и прогнозирования киберугроз Threat Hunting Intelligence и других.

CERT-GIB обеспечивает круглосуточную поддержку реагирования на инциденты информационной безопасности, при необходимости высылая на место инцидента мобильную бригаду для контроля необходимых процедур и сбора цифровых доказательств. CERT-GIB обладает полномочиями, необходимыми для оперативной блокировки сайтов, распространяющих вредоносное ПО, а также фишинговых и мошеннических ресурсов более чем в 2500 доменных зонах. В октябре 2019 года был поставлен рекорд быстродействия регистраторов по блокировке вредоносных ресурсов максимум 5 часов. Это самый минимальный показатель за всю историю блокировки в доменной зоне РУ. Кроме того, CERT-GIB является аккредитованным членом международного профессионального объединения Trusted Introducer, членом Организации исламского сотрудничества (OIC-CERT) и входит в крупнейшее сообщество команд реагирования FIRST, что позволяет обмениваться информацией с CERT-командами в более чем 100 странах и блокировать опасные сайты по всему миру.

О компании

F.A.C.C.T. — Fight Against Cybercrime Technologies — российский разработчик технологий для борьбы с киберпреступлениями, поставщик решений для детектирования и предотвращения кибератак, выявления мошенничества, исследования высокотехнологичных преступлений и защиты интеллектуальной собственности в сети. F.A.C.C.T. создана для работы на рынках России и СНГ путем выделения в автономную структуру бывшего российского актива международной компании Group-IB.

В основе технологического лидерства F.A.C.C.T. — 20-летний практический опыт исследований киберпреступлений по всему миру и более 70 000 часов реагирования на инциденты информационной безопасности, аккумулированные в одной из крупнейших лабораторий компьютерной криминалистики и круглосуточном центре оперативного реагирования CERT. Решения компании основаны на знаниях, полученных в ходе реагирований на инциденты и исследований киберпреступности. Они обеспечивают защиту от киберрисков, связанных с целевыми атаками, утечками данных, мошенничеством, фишингом, нелегальным использованием бренда. Продукты F.A.C.C.T. входят в Реестр Отечественного ПО.