Русское киберподполье: «бизнес» у всех на виду

Русская мафия давно стала своеобразным жупелом в западных сми и обросла множеством мифов, однако реальность, наверное, хлеще любых выдумок. Русская киберпреступность, очевидно, представляет из себя грозного противника для всей индустрии

Русская мафия давно стала своеобразным жупелом в западных сми и обросла множеством мифов, однако реальность, наверное, хлеще любых выдумок. Русская киберпреступность, очевидно, представляет из себя грозного противника для всей индустрии кибербезопасности и огромную проблему для юридических и физических лиц по всему миру. Встречайте новое фундаментальное исследование Securelist: Русскоязычная финансовая киберпреступность: как это работает.

Средство связи

Важно отметить, что «русская» здесь означает «русскоговорящая», а не обязательно «происходящая из Российской Федерации». Русский язык активно используется во многих постсоветских республиках, но рынок русскоязычной киберпреступности состоит, преимущественно, из граждан России, Украины и стран Балтии.

Securelist утверждает, что этот рынок киберпреступности хорошо известен во всем мире. Во-первых, из-за частого освещения в сми. Вторая причина на Securelist описана как «открытая доступность онлайновых платформ, используемых сообществом киберпреступников для коммуникации, продвижения различных «услуг» и «продуктов» и обсуждения их качества и способов применения, хоть и не для заключения реальных сделок».

Другими словами, большое количество киберпреступников заняты противозаконным делом у всех на виду, а после переходят к проведению финансовых атак разного масштаба и сложности.

Размер ущерба

В 2012-2015 годах правоохранительные органы разных стран, в том числе США, России, Белоруссии, Украины и Евросоюза, арестовали свыше 160 русскоговорящих киберпреступников, членов различных группировок. Все арестованные подозреваются в причастности к краже денег с помощью вредоносного ПО. Общая сумма ущерба от их деятельности по всему миру, согласно подсчётам, превысила $790 млн. $509 миллионов было похищено за пределами бывшего Советского Союза. И это только подтверждённые потери, подробности которых, по утверждению Securelist, получены правоохранительными органами в ходе расследования. На самом деле ущерб может оказаться значительно больше.

Несмотря на внушительное количество арестов, «рынок» по-прежнему насыщен и весьма активен.

По мнению экспертов «Лаборатории Касперского», за последние три года ряды русскоязычной киберпреступности пополнились примерно одной тысячей человек. К ним относятся люди, участвующие в создании инфраструктуры, написании и распространении вредоносного кода для воровства денег, а также те, кто либо крал, либо обналичивал украденные деньги.

Согласно Отделу расследования компьютерных инцидентов «Лаборатории Касперского», существует, по крайней мере, пять крупных групп киберпреступников, специализирующихся на финансовых преступлениях и попадавших в сферу внимания экспертов в последние несколько лет. Каждая группировка насчитывает от 10 до 40 членов. При этом во всём киберподполье насчитывается около 20 «основных профессионалов», которые играют ведущие роли в преступной деятельности, связанной с онлайновыми кражами денег и информации. Столько ущерба от такой горстки людей.

Предпринимательская деятельность

В целом, киберпреступность является бизнесом, работающим на тех же принципах (предлагающим, например, «продукты» и «услуги»), следующим той же логике (максимизирующим поступления от вложений) и т.д. Это совершенно противозаконная и очень вредная деятельность, но она строится на тех же принципах. Киберпреступные группы почти открыто нанимают программистов и системных администраторов, как и обычные компании. Программисты создают и модифицируют вредоносное ПО, а сисадмины выполняют задачи, практически идентичные тем, что выполняют их коллеги на законной работе: выстраивают ИТ-инфраструктуру и поддерживают её в рабочем состоянии.

«Киберподпольные сисадмины настраивают серверы управления, покупают неотключаемый хостинг для серверов, обеспечивают доступность инструментов для анонимного подключения к серверам (VPN) и решают другие технические задачи, в том числе по взаимодействию с удалёнными системными администраторами, нанятыми для выполнения небольших заданий», — пишет Securelist.

Киберпреступники также предлагают ряд ниже следующих «продуктов» и «услуг» друг другу и третьим лицам. Вот основной ассортимент, выявленный исследователями «Лаборатории Касперского»:

Продукты:

  • Программное обеспечение для получения несанкционированного доступа к компьютеру или мобильному устройству с целью кражи данных с заражённого устройства или денег со счёта жертвы (трояны);
  • Программное обеспечение для эксплуатации уязвимостей в ПО, установленном на компьютере жертвы (эксплойты);
  • Базы данных краденых кредитных карт и другую ценную информацию;
  • Интернет-трафик (определённое количество посещений выбранного клиентом сайта пользователями специфического профиля).

Сервисы:

  • Рассылка спама;
  • Организация DDoS-атак (заваливание запросами сайтов с целью сделать их недоступными для легитимных пользователей);
  • Тестирование вредоносных программ на обнаружение антивирусами;
  • «Упаковка» вредоносных программ (изменение вредоносного ПО с помощью специальных программ-упаковщиков таким образом, чтобы обойти антивирусное программное обеспечение);
  • Сдача в аренду наборов эксплойтов;
  • Сдача в аренду выделенных серверов;
  • VPN (предоставление анонимного доступа к веб-ресурсам, защита обмена данными)
  • Сдача в аренду надёжного хостинга (техплощадок, которые не реагируют на жалобы о распространении вредоносного контента и, следовательно, не отключают сервер);
  • Сдача в аренду ботнетов;
  • Оценка украденных данных кредитных карт;
  • Услуги проверки данных (поддельные звонки, поддельные сканы документов);
  • Продвижение вредоносных и рекламных сайтов в результатах поиска («чёрный» рынок поисковой оптимизации);
  • Посредничество в сделках по приобретению «продуктов» и «услуг»;
  • Изъятие и обналичивание денег.

Все вместе эти «продукты» и «услуги» покупаются и продаются в различных комбинациях, позволяющих совершать следующие виды преступлений:

  • DDoS-атаки (заказанные или проведённые с целью вымогательства);
  • Кража личной информации и данных для доступа к электронному кошельку (с целью перепродажи или хищения средств);
  • Кража денег со счетов банков или других организаций;
  • Внутренний или корпоративный шпионаж
  • Блокирование доступа к данным на заражённом компьютере с целью вымогательства.

Очевидно, большинство из перечисленного представляет угрозу для бизнеса, а это совсем другой уровень опасности по сравнению со взломом частных лиц, в точности как организованная преступность опаснее случайных бандитов-одиночек.

Чтобы больше узнать о русской киберпреступности, пожалуйста, перейдите к статье на Securelist.

Советы
Подпишитесь на нашу еженедельную рассылку
  • For all other countries