Доклад ЕC3 «Об оценке угроз организованной преступности в сети Интернет» (IOCTA-2016)

Угрозы

1. Вытеснение программами-вымогателями других модификаций вредоносного программного обеспечения (ВПО), таких как банковские троянские программы. Программы-вымогатели становятся ключевой угрозой как для граждан, так и для предприятий. Согласно отчету, к наиболее распространенным типам ВПО относятся:
   • Программы-вымогатели («Cryptowall», «CTB-Locker», «Teslacrypt», «Locky», «Blackshades.NET»);
   • Банковское ВПО и троянские программы, предназначенные для сбора конфиденциальной информации («Dridex», «Citadel», «Dyre);
   • Инструменты удаленного доступа («DarkComet»);
   • Наборы эксплойтов («Angler», «Nuclear»»);
   • Программы-загрузчики.
   Согласно отчету, в 2016 году для борьбы с программами-вымогателями правоохранительными органами ЕС (ЕС3, полиция Нидерландов) в сотрудничестве с частным сектором был создан и запущен портал «No More Ransom» (nomoreransom.com). Целью этой инициативы является информирование общественности об опасностях, связанных с программами-вымогателями, и оказание помощи жертвам данного ВПО по восстановлению своих данных без уплаты выкупа злоумышленникам.
2. Продолжение роста коммерциализации криминальных услуг (crime-as-a-servece). «Черный рынок» компьютерной преступности предлагает широкий спектр товаров и услуг: наборы эксплойтов, украденные персональные данные и данные кредитных карт, информация о скомпрометированных серверах, продажа и аренда бот-сетей, услуги по проведению компьютерных атак типа «распределенный отказ в обслуживании» (DDoS-атак), услуги по взлому компьютерных сетей.
3. Активное использование злоумышленниками (в том числе террористическими группировками) в целях сокрытия преступной деятельности: невидимого поисковыми системами сегмента сети Интернет («darknet»), средств обезличивания («анонимайзеры») и шифрования данных, механизмов защиты коммуникаций и транзакций, методов стеганографии, а также виртуальной криптовалюты (bitcoin). Всё это существенно затрудняет судебное расследование преступлений.
4. Появление организованных преступных группировок, использующих скомпрометированные данные платежных карт, в основе которых лежит технология беспроводной высокочастотной связи малого радиуса действия (Near field communication, NFC). Ряд группировок разрабатывает и реализует (в «darknet») программное обеспечение, позволяющее загрузить на Android-устройства данные скомпрометированных NFC-карт и использовать их для оплаты покупок в любых магазинах, поддерживающих технологию NFC. Это является показателем скорости, с которой злоумышленники адаптируются к появлению новых технологий и начинают использовать их в своих целях.
5. Появление фишинговых кампаний, где в качестве элемента социальной инженерии используется рассылка писем от имени генеральных директоров крупных компаний (т.н. «CEO fraud»). Фишинг подобного рода может приводить к существенным потерям (финансовым, репутационным) целевых организаций.
6. Рост интенсивности и сложности DDoS-атак. Если в 2015 году рекордная мощность DDoS-атак составляла 300 Гбит/с, то в 2016 году уже зафиксированы DDoS-атаки с трафиком свыше 600 Гбит/с. Кроме того, на «чёрном рынке» компьютерной преступности распространены предложения «DDoS-атака как услуга» (DDoS-as-a-service).
7. Данные остаются ключевым товаром злоумышленников. Атаки, целью которых является похищение данных, по-прежнему нацелены в первую очередь на получение финансовой информации, затем следуют данные медицинских учреждений и интеллектуальная собственность. Зачастую похищенные данные шифруются с целью получения выкупа.
8. Криптовалюта (bitcoin) остается инструментом, наиболее часто используемым компьютерными преступниками в качестве оплаты преступных услуг и получения выкупов от жертв программ-вымогателей.
9. Вредоносные программы для мобильных устройств по своему характеру, уровню сложности и способу распространения всё больше приближены к ВПО для обычных ПК.
10. В следствие груминга или приемов социальной инженерии дети всё чаще становятся жертвами сексуального насилия и вымогательства.
11. Банковские EMV-карты («чипованные»), блокирование операций в определенной географической зоне (geoblocking) и другие механизмы безопасности, внедряемые финансовыми институтами, в настоящее время снижают уровень мошенничества с банковскими картами в Европе, вынуждая преступников проводить мошеннические схемы в других регионах (Северной и Южной Америках, Юго-Восточной Азии). Вместе с тем продолжают развиваться и увеличиваться атаки на банкоматы.
12. Увеличивается число т.н. платежных операций без присутствия карты (Card not present transaction, CNP), при которых держатель карты не присутствует во время и в месте проведения оплаты. Это затрагивает различные типы сделок: оплата авиабилетов, покупки в интернет-магазинах, аренда автомобиля или жилья.
13. Появление новых направлений для проведения компьютерных атак в связи с ростом числа подключенных устройств из сферы «Интернет вещей». (персональные маршрутизаторы, веб-камеры, телевизоры и принтеры).

Рекомендации

• Развитие сотрудничества по обмену сведениями об инцидентах и вредоносных программах, а также при проведении исследований инцидентов между правоохранительными органами, частным и финансовым секторами, компаниями в сфере обеспечения информационной безопасности и научными учреждениями.
• Взаимодействие правоохранительных органов различных государств, в том числе, не входящих в Европейский союз.
• Предоставление государствами-членами Европейского союза образцов вредоносных программ в систему анализа ВПО (Europol Malware Analysis System, EMAS).
• Взаимодействие правоохранительных органов с провайдерами с целью своевременного обнаружения, блокирования и удаления противоправного контента.
• Повышение квалификации сотрудников правоохранительных органов (в частности, обучение методам сбора цифровых доказательств), своевременное информирование их о новых угрозах и обеспечение соответствующими ресурсами и средствами.
• Участие правоохранительных органов в кампаниях по повышению осведомленности пользователей сети Интернет о методах совершения компьютерных атак, способах защиты от них и базовых стандартах информационной безопасности (в том числе профилактическая работа в школах). Кроме того, описывается необходимость информирования потенциальных компьютерных преступников – людей, вовлекаемых в противоправную деятельность, о последствиях.
• Установление базовых стандартов информационной безопасности для автоматизированных систем управления производственными и технологическими процессами критически важных объектов (АСУ ТП КВО).
• Проведение тщательных расследований инцидентов и ВПО правоохранительными органами (а не просто сбор информации о жертвах).
• Выявление и блокирование правоохранительными органами интернет-ресурсов и форумов, на которых злоумышленники обмениваются информацией.
• Согласование законодателями и политиками совместно с представителями промышленности вопроса о применении пользователями шифрования в целях защиты конфиденциальной информации без ущерба для работы правоохранительных органов по расследованию угроз национальной безопасности.
• Со стороны промышленности необходимо проведение работ по устранению существующих недостатков безопасности в программном обеспечении и аппаратных средствах, а также учитывание современных угроз безопасности при разработке новых устройств, в том числе из области «Интернет вещей».
• Внедрение эффективных каналов для предоставления компаниями-жертвами в правоохранительные органы онлайн-отчетности о совершенных в их отношении компьютерных преступлениях. В частности, говорится о необходимости участия операторов критической инфраструктуры в реализации директивы «Сетевая и информационная безопасность» (Network and Information Security, NIS), предложенной Европейской комиссией в феврале 2013 года в рамках стратегии в области кибербезопасности для ЕС.