Об изменении предпочтений хакеров заявили в среду ведущие специалисты по кибербезопасности на форуме по борьбе с кибермошенничеством «Antifraud Russia 2017». По словам гендиректора Group-IB Илья Сачкова, причиной смены вектора атак с хищения средств банков на криптовалюты стало несколько факторов — и законодательный вакуум, и легкость обмена криптовалюты. «В России действует более 1 тыс. обменных пунктов криптовалюты на настоящие деньги и обратно, можете заказать себе пластиковую карточку за $12, которая будет работать в любом российском банкомате и по которой можно будет менять деньги с вашего биткойн-кошелька на рубли,— отметил он.— В итоге многие крупные преступные группы полностью переключились просто на криптоиндустрию».
Другая причина — использование криптовалют хакерами в расчетах между собой. «Все группировки специализированы: кто-то умеет писать вирусы, кто-то распространять, и они нуждаются в некотором аналоге денег для расчетов,— отмечает директор по развитию бизнеса компании "Информзащита" Михаил Савельев.— А анонимность криптовалют тут им как нельзя кстати».
В качестве примера группировок, утративших интерес к российским банкам, в Group-IB привели Lazarus (крупнейшая группировка, атаковавшая банки по всему миру) и Anunak (на ее счету нападения на 50 кредитных организаций в России).
По словам главного антивирусного эксперта «Лаборатории Касперского» Александра Гостева, в 2017 году в результате кибератак на ICO (Initial Coin Offering — форма привлечения инвестиций, аналог размещения акций, IPO) хакеры украли $300 млн из привлеченных в текущем году $3,5 млрд. «При этом ожидаемый рост числа новых ICO к концу года приведет и к росту атак на блокчейн-платформы»,— отметила аналитик Positive Technologies Ольга Зиненко. По ее словам, одна из самых дорогих атак 2017 года также связана с криптовалютами — из-за уязвимости в сети Ethereum было похищено около $30 млн.
Сейчас тысячи людей поверили, что криптовалюта — новое эльдорадо, поэтому угроза в основном направлена на личные кошельки и аккаунты на криптовалютных биржах, указывает руководитель продуктовой аналитики Solar Security Андрей Данкевич. По его словам, при этом наиболее часто используются социальная инженерия и фишинг. «Лаборатория Касперского» в 2017 году зафиксировала 2 тыс. фишинговых атак на проводящиеся ICO. В «Информзащите» сообщили также о программах—вымогателях криптовалюты и даже случаях появления фейковых криптовалют.
Впрочем, ЦБ призывает банки не терять бдительности. По словам замначальника главного управления безопасности и защиты информации Банка России Артема Сычева, тенденцию переключения хакеров с банков на криптовалюту еще предстоит изучить. При этом он подтвердил снижение интересов хакеров к банкам. Некоторое время назад FinCERT (специализированное структурное подразделение ЦБ) фиксировал в неделю по две-три массовые рассылки с Cobalt Strike, который использует атакующая банки группировка Cobalt (см. “Ъ” от 23 ноября), однако сейчас активность резко упала. «Это не повод успокаиваться, как раз наоборот, вопрос, почему они замолчали,— отметил Артем Сычев.— Я склоняюсь к тому, что хакеры готовят что-то такое неприятное к концу года, на этот период приходится самый пик платежей». Данные опасения разделяют и в «Информзащите», отмечая, что профессиональным хакерам нет никакого смысла отказываться от атак на банки, для них хищения криптовалют — это лишь дополнительный способ быстрого и легкого заработка. В Group-IB также уверены, что риск атак на банки в конце года резко возрастает. Собеседник “Ъ”, близкий к правоохранительным органам, отметил, что и они ожидают в конце года атак на кредитные организации не только со стороны Cobalt, но и ранее атаковавших банки Buhtrap, Lazarus и Anunak. «И не исключено, что отдельные банки уже заражены и злоумышленники просто ждут предновогодней активности»,— предостерег он.
Вероника Горячева