Фродекс. Андрей Луцкович. " fraudwall - антифрод для АРМ-а...

АНДРЕЙ ЛУЦКОВИЧГЕНЕРАЛЬНЫЙ ДИРЕКТОР

ООО ФРОДЕКС

[email protected]

FraudWall – антифрод для АРМ-а КБР

www.frodex.ru

#CODEIBГ. САНКТ-ПЕТЕРБУРГ

21 АПРЕЛЯ 2016

Немного статистики за 2015 год

«Изучай прошлое, если хочешь предвидеть будущее» Конфуций



Думаете, в стране финансовый

кризис и воровать нечего?



Статистика ЦБ РФ: динамикаинцидентов в ДБО (2014-2015)

- объем несанкционированных списаний, млн. руб.

- количество несанкционированных операций в ДБО, ед.Источник: Банк России. Обзор о несанкционированных переводах денежных средств. 2015 год

Наблюдается существенный рост



Статистика ЦБ РФ: ДБО юр. лиц

- предотвращено, млн. руб.

- украдено, млн. руб.

Источник: Банк России. Обзор о несанкционированных переводах денежных средств. 2015 год

- количество инцидентов, ед.



Статистика ЦБ РФ: ДБО юр. лиц



Какие суммы пытаются украсть чаще всего у клиентов – юридических лиц?



Статистика ЦБ РФ: ДБО физ. лиц

- предотвращено, млн. руб.

- украдено, млн. руб.





Статистика ЦБ РФ: ДБО физ. лиц



Какие суммы пытаются украсть чаще всего у клиентов – физических лиц?



Статистика ЦБ РФ : итоги




ТРЕНД 2015 ГОДА:

АТАКИ НЕ НА КЛИЕНТОВ БАНКА, А НА БАНКИ



ТРЕНД 2015 ГОДА:

Банк России отмечает смешение вектора атак в сторону кредитных организаций. Так инциденты, связанные с целевыми атаками на операционную инфраструктуру кредитных организаций и платежных систем, в 2015 году привели к финансовым потерям в размере более 900 млн руб.




ГРУППИРОВКА:

Группировки киберпреступников

Anunak (Carbanak)

СПЕЦИАЛИЗАЦИЯ: заражение банкоматов и дальнейшая кража средств,шпионаж, целевые атаки

КОГДА: с 2013 г., продолжает активно действовать

ОБЩИЙ УЩЕРБ: более 1 млрд. руб.

Источник: Аналитические отчеты компании Group-IB





Corkow (Metel)

СПЕЦИАЛИЗАЦИЯ: банки (брокерские терминалы QUIK, TRANSAQ)

клиенты банков (кража через ДБО) расчетные системы







Corkow (Metel)

август 2015:атака на Объединенную расчетную систему,кража 500 млн. руб.

февраль 2015:атака на банковский торговый терминал QUIK,ущерб около 200 млн. руб.

НАИБОЛЕЕ КРУПНЫЕ ИНЦИДЕНТЫ:






Buhtrap

СПЕЦИАЛИЗАЦИЯ: целевые атаки на банки (кража через АРМ КБР)

клиенты банков (кража через ДБО)


ОБЩИЙ УЩЕРБ: около 1 млрд. руб.Источник: Аналитические отчеты компании Group-IB



Группировка Buhtrap: хронология

По данным FinCERT, по состоянию на 1 марта 2016 г. подверглись атакам 19 банков, удалось предотвратить кражу средств на общую сумму 1,5 млрд. руб.

август 2015: 1 банк, 25 млн.руб.

октябрь 2015: 1 банк, 99 млн.руб.

ноябрь 2015: 2 банка, общая сумма 75 млн.руб.

декабрь 2015: 5 банков, общая сумма 571 млн.руб.

январь 2016: 2 банка, общая сумма 240 млн.руб.

февраль 2016: 2 банка, общая сумма 859 млн.руб.

март 2016: 2 банка, общая сумма 500 млн.руб.



Атака на АРМ КБР



Атака на АРМ КБР1 этап – рассылка письма

Потенциальной жертве приходит письмо с вложением. Текст письма, как правило, связан с деятельностью сотрудника

Вредоносный код в письмене обнаруживается антивирусами



Атака на АРМ КБР1 этап – рассылка письма



Атака на АРМ КБР2 этап – запуск загрузчика

Вы все еще считаете, чтоRTF-документы безопасны?

Вложение к письму представляет собой RTF-документ, эксплуатирующий уязвимость CVE-2012-0158 (выполнение произвольного кода из-за переполнения буфера в библиотеке MSCOMCTL.OCX)

При открытии этого вложения автоматически запускается загрузчик, который из сети Интернет скачивает, а затем устанавливает специализированный троян



Атака на АРМ КБР3 этап – создание локальной bot-сети

Если вылечить один компьютер, через некоторое время он повторно

заражается от другого

Троян сканирует сеть и пытается заразить максимальное число компьютеров.

Функционал трояна:

кейлоггер

сборщик паролейудаленный доступ из Интернет

подключение к другому компьютеру по RDP

уничтожение MBR-записи на жестком диске

►

►

►

►

►



Атака на АРМ КБР4 этап – поиск АРМ КБР

Мошенники детально разбираются с особенностями

работы с АРМ КБР в банке

При сканировании сети ищется не только компьютер с АРМ КБР (он может быть полностью отключен от сети), но и любой компьютер, где ведется работа с файлами формата АРМ КБР.



Атака на АРМ КБР5 этап – атака

Поддельные платежные поручения попадают на АРМ КБР даже если он

отключен от сети и обмен идет через USB Flash

В назначенный день X осуществляется атака – платежные поручения, отправляемые в АРМ КБР, либо модифицируются (меняется р/с получателя) без изменения числа платежных поручений, либо формируются дополнительные платежные поручения (порядка 2000 штук)



Атака на АРМ КБР6 этап – уничтожение следов

Администраторы банка в первую очередь пытаются восстановить

работоспособность сети, не проверяя платежи, отправленные через АРМ КБР

Троян имеет функционал очищения MBR-записи жесткого диска, после которой компьютер перегружается и становится неработоспособным.



КАКИЕ ПРОГНОЗЫ?



февраль 2016: исходники трояна BUHTRAP

выложены в свободный доступ#CODEIB

Г. САНКТ-ПЕТЕРБУРГ21 АПРЕЛЯ 2016

Теперь каждый школьник может взломать банк!





FraudWall: комплексное решение

Предотвращение кражи средств в

системах ДБОБорьба с

внутренним мошенничеством(платежи в АБС)

Предотвращение кражи средств через АРМ КБР



Система голосового подтверждения подозрительных

платежей

Антифрод-система

Центр управления инфраструктурой

серверов FraudWall

FraudWall: комплексное решениеСервис по обнаружению проблем на компьютере

клиента банка

СПАСИБО ЗА ВНИМАНИЕ!

АНДРЕЙ ЛУЦКОВИЧООО ФРОДЕКС,

ГЕНЕРАЛЬНЫЙ ДИРЕКТОР

[email protected]

www.frodex.ru

#CODEIBГ. МИНСК


Фродекс. Андрей Луцкович. " fraudwall - антифрод для АРМ-а...

Software