киберпреступность

Русское киберподполье: «бизнес» у всех на виду

Русская мафия давно стала своеобразным жупелом в западных сми и обросла множеством мифов, однако реальность, наверное, хлеще любых выдумок. Русская киберпреступность, очевидно, представляет из себя грозного противника для всей индустрии

Yuri Ilyin
29 декабря 2015

Русская мафия давно стала своеобразным жупелом в западных сми и обросла множеством мифов, однако реальность, наверное, хлеще любых выдумок. Русская киберпреступность, очевидно, представляет из себя грозного противника для всей индустрии кибербезопасности и огромную проблему для юридических и физических лиц по всему миру. Встречайте новое фундаментальное исследование Securelist: Русскоязычная финансовая киберпреступность: как это работает.

Средство связи

Важно отметить, что «русская» здесь означает «русскоговорящая», а не обязательно «происходящая из Российской Федерации». Русский язык активно используется во многих постсоветских республиках, но рынок русскоязычной киберпреступности состоит, преимущественно, из граждан России, Украины и стран Балтии.

Securelist утверждает, что этот рынок киберпреступности хорошо известен во всем мире. Во-первых, из-за частого освещения в сми. Вторая причина на Securelist описана как «открытая доступность онлайновых платформ, используемых сообществом киберпреступников для коммуникации, продвижения различных «услуг» и «продуктов» и обсуждения их качества и способов применения, хоть и не для заключения реальных сделок».

Другими словами, большое количество киберпреступников заняты противозаконным делом у всех на виду, а после переходят к проведению финансовых атак разного масштаба и сложности.

Размер ущерба

В 2012-2015 годах правоохранительные органы разных стран, в том числе США, России, Белоруссии, Украины и Евросоюза, арестовали свыше 160 русскоговорящих киберпреступников, членов различных группировок. Все арестованные подозреваются в причастности к краже денег с помощью вредоносного ПО. Общая сумма ущерба от их деятельности по всему миру, согласно подсчётам, превысила $790 млн. $509 миллионов было похищено за пределами бывшего Советского Союза. И это только подтверждённые потери, подробности которых, по утверждению Securelist, получены правоохранительными органами в ходе расследования. На самом деле ущерб может оказаться значительно больше.

Несмотря на внушительное количество арестов, «рынок» по-прежнему насыщен и весьма активен.

По мнению экспертов «Лаборатории Касперского», за последние три года ряды русскоязычной киберпреступности пополнились примерно одной тысячей человек. К ним относятся люди, участвующие в создании инфраструктуры, написании и распространении вредоносного кода для воровства денег, а также те, кто либо крал, либо обналичивал украденные деньги.

Согласно Отделу расследования компьютерных инцидентов «Лаборатории Касперского», существует, по крайней мере, пять крупных групп киберпреступников, специализирующихся на финансовых преступлениях и попадавших в сферу внимания экспертов в последние несколько лет. Каждая группировка насчитывает от 10 до 40 членов. При этом во всём киберподполье насчитывается около 20 «основных профессионалов», которые играют ведущие роли в преступной деятельности, связанной с онлайновыми кражами денег и информации. Столько ущерба от такой горстки людей.

Предпринимательская деятельность

В целом, киберпреступность является бизнесом, работающим на тех же принципах (предлагающим, например, «продукты» и «услуги»), следующим той же логике (максимизирующим поступления от вложений) и т.д. Это совершенно противозаконная и очень вредная деятельность, но она строится на тех же принципах. Киберпреступные группы почти открыто нанимают программистов и системных администраторов, как и обычные компании. Программисты создают и модифицируют вредоносное ПО, а сисадмины выполняют задачи, практически идентичные тем, что выполняют их коллеги на законной работе: выстраивают ИТ-инфраструктуру и поддерживают её в рабочем состоянии.

«Киберподпольные сисадмины настраивают серверы управления, покупают неотключаемый хостинг для серверов, обеспечивают доступность инструментов для анонимного подключения к серверам (VPN) и решают другие технические задачи, в том числе по взаимодействию с удалёнными системными администраторами, нанятыми для выполнения небольших заданий», — пишет Securelist.

Киберпреступники также предлагают ряд ниже следующих «продуктов» и «услуг» друг другу и третьим лицам. Вот основной ассортимент, выявленный исследователями «Лаборатории Касперского»:

Продукты:

Программное обеспечение для получения несанкционированного доступа к компьютеру или мобильному устройству с целью кражи данных с заражённого устройства или денег со счёта жертвы (трояны);
Программное обеспечение для эксплуатации уязвимостей в ПО, установленном на компьютере жертвы (эксплойты);
Базы данных краденых кредитных карт и другую ценную информацию;
Интернет-трафик (определённое количество посещений выбранного клиентом сайта пользователями специфического профиля).

Сервисы:

Рассылка спама;
Организация DDoS-атак (заваливание запросами сайтов с целью сделать их недоступными для легитимных пользователей);
Тестирование вредоносных программ на обнаружение антивирусами;
«Упаковка» вредоносных программ (изменение вредоносного ПО с помощью специальных программ-упаковщиков таким образом, чтобы обойти антивирусное программное обеспечение);
Сдача в аренду наборов эксплойтов;
Сдача в аренду выделенных серверов;
VPN (предоставление анонимного доступа к веб-ресурсам, защита обмена данными)
Сдача в аренду надёжного хостинга (техплощадок, которые не реагируют на жалобы о распространении вредоносного контента и, следовательно, не отключают сервер);
Сдача в аренду ботнетов;
Оценка украденных данных кредитных карт;
Услуги проверки данных (поддельные звонки, поддельные сканы документов);
Продвижение вредоносных и рекламных сайтов в результатах поиска («чёрный» рынок поисковой оптимизации);
Посредничество в сделках по приобретению «продуктов» и «услуг»;
Изъятие и обналичивание денег.

Все вместе эти «продукты» и «услуги» покупаются и продаются в различных комбинациях, позволяющих совершать следующие виды преступлений:

DDoS-атаки (заказанные или проведённые с целью вымогательства);
Кража личной информации и данных для доступа к электронному кошельку (с целью перепродажи или хищения средств);
Кража денег со счетов банков или других организаций;
Внутренний или корпоративный шпионаж
Блокирование доступа к данным на заражённом компьютере с целью вымогательства.

Очевидно, большинство из перечисленного представляет угрозу для бизнеса, а это совсем другой уровень опасности по сравнению со взломом частных лиц, в точности как организованная преступность опаснее случайных бандитов-одиночек.

Чтобы больше узнать о русской киберпреступности, пожалуйста, перейдите к статье на Securelist.

Можно ли взломать поезд?

Современные поезда и железные дороги управляются сотнями различных, компьютеров, подключенных друг к другу. Может ли такая система быть безопасной?

Безопасность детей и защита приватности

Защита отдельных узлов сети

Другие решения

Другие Отрасли

Другие Продукты

Другие Сервисы

Русское киберподполье: «бизнес» у всех на виду

Небезупречные: киберпреступники тоже ошибаются

ООО «Киберкриминал»: насколько прибылен бизнес?

Можно ли взломать поезд?

Советы

Домашние прокси: в чем риски для организаций?

Сейчас вылетит (верифицированная) птичка, или как распознать фейк

Реклама на службе у… спецслужб

Босс или мошенник? Обман под видом поручений начальства

Подпишитесь на нашу еженедельную рассылку

Решения для дома

Для малого бизнеса

Для среднего бизнеса

Корпоративные решения

Securelist

Nota Bene: блог Евгения Касперского

Энциклопедия