Ущерб от кибератак на криптобиржи за полтора года составил $882 млн

Ущерб от кибератак на криптобиржи за полтора года составил $882 млн

Ущерб от кибератак на криптобиржи за полтора года составил $882 млн

Компания Group-IB оценила ущерб от целевых атак на криптобиржи в 2017 году и первые 9 месяцев 2018 года в $882 млн. По данным экспертов Group-IB,  за этот период были взломаны, как минимум, 14 криптобирж и 5 из них  — атакованы северокорейской хакерской группой Lazarus, в том числе, японская биржа Coincheck, потерявшая $534 млн.

Эти данные приведены в ежегодном отчете Hi-Tech Crime Trends 2018,  представленном Дмитрием Волковым, CTO Group-IB, на прошедшей международной конференции CyberСrimeCon2018. Один из блоков отчета посвящен анализу деятельности хакеров и мошенников в криптоиндустрии.

В большинстве случаев при атаках на криптобиржи хакеры используют традиционные инструменты и схемы, такие как целевой фишинг, социальная инженерия, загрузка вредоносных программ, дефейс сайта. В результате одной успешной атаки хакеры могут украсть десятки миллионов долларов в криптовалюте с минимальным риском быть пойманными, поскольку анонимность при проведении транзакций позволяет злоумышленникам достаточно безопасно вывести средства.

Основным вектором проникновения в корпоративные сети криптобирж  является целевой фишинг. Например, злоумышленники отправляют поддельные резюме с темой «Engineering Manager for Crypto Currency job» и  документом во вложении «Investment Proposal.doc», за которым скрывается вредоносная программа.

За последние полтора года северокорейская группа Lazarus атаковала, как минимум, 5 криптобирж: Yapizon, Coinis, YouBit, Bithumb, Coinckeck. После заражения хакеры проводили разведку локальной сети, чтобы найти компьютеры или серверы, на которых велась работа с приватными кошельками криптобирж.

«В прошлом году мы предупреждали, что у хакеров, которые могут профессионально провести целенаправленную атаку, появилась новая цель — криптобиржи», — напомнил Дмитрий Волков, технический директор Group-IB.

«От рук организованных хакерских группировок за последние несколько лет пострадали крупные торговые площадки, некоторые из которых после взлома объявили о банкротстве. Например, Bitcurex, YouBit, Bitgrail. В начале 2018 года внимание хакеров к криптобиржам только возросло, поэтому мы ожидаем, что такие группы, как Silence, MoneyTaker и Cobalt, могут провести несколько успешных  взломов криптобирж».

Хакеры наносят значительный ущерб ICO-проектам: атакуют фаундеров, членов коммьюнити, сами платформы. В 2017 году было похищено более 10% всех привлеченных инвестиций, а 80% проектов не выполнили обязательства перед инвесторами и исчезли после сбора средств.

Несмотря на пессимистические прогнозы, финансирование ICO-проектов  в текущем году увеличилось: только за первое полугодие 2018 года ICO-проекты собрали почти $14 млрд — в два раза больше, чем за весь 2017 год ($5,5 млрд) — по данным исследования CVA и PwC. Таким образом, в результате одной успешной атаки у злоумышленников есть возможность украсть значительно больше средств.

В 2018 году атакам подверглись проекты, проводящие закрытый раунд ICO. Например, проект TON (Telegram Open Network), основанный Павлом Дуровым, подвергся фишинговой атаке, в результате чего злоумышленникам удалось украсть около $35 тыс. в Ethereum. Шквал DDoS-атак, лавина сообщений в каналы Telegram и Slack, спам по списку рассылок, как правило, происходит именно в день старта продаж токенов в рамках проведения ICO.

Наиболее популярным инструментом атак на ICO остается фишинг: на него приходится около 56% украденных средств. В разгар «криптовалютной лихорадки» все стремятся как можно быстрее купить токены (зачастую они продаются с большой скидкой) и не обращают внимания на такие мелочи, как подмененные домены. Крупная фишинговая группировка похищает около $1 млн в месяц.

Фишинговые атаки на ICO-проекты не всегда проводятся для кражи денег. В этом году зафиксировано несколько случаев кражи баз данных инвесторов, участвующих в ICO. Такая информация в последствие может продаваться на теневых хакерских форумах или использоваться для шантажа. Относительно новой распространенной схемой мошенничества на рынке ICO стала кража White Paper проекта и представление идентичной идеи под своим брендом. Мошенники создают лендинг под новым брендом и с новой командой, но с ворованным описанием, и объявляют о проведении ICO.

Фейковый Google Play маскирует онлайн-казино под приложения Tesco, Amazon

Мошенники нашли красивую упаковку для старой схемы: берут известный бренд, рисуют фейковую страницу Google Play, запускают рекламу в соцсетях и под видом официального приложения ведут пользователя в онлайн-казино. В объявлениях злоумышленники используют названия и визуальный стиль известных компаний, включая Tesco, Amazon, Monzo, Revolut и стриминговые сервисы.

По данным Netcraft, кампания продвигается через платную рекламу в Facebook, Instagram, Threads (все три принадлежат корпорации Meta, признанной экстремистской и запрещённой в России) и TikTok.

Где-то всё выглядит примитивно — просто «Brand Slots». А где-то уже почти спектакль: поддельные интерфейсы, фальшивые отзывы, липовые данные из магазинов приложений и даже ИИ-видео с якобы сотрудниками бренда.

 

Главная легенда — официальный запуск слотов или казино-приложения от известной компании. Пользователь кликает по рекламе и попадает на страницу, похожую на Google Play, App Store или сайт бренда. Но кнопка «Install» не ведёт в настоящий магазин приложений. Вместо этого браузер предлагает добавить на главный экран PWA — прогрессивное веб-приложение.

После установки такая штука выглядит как обычное приложение: с иконкой, названием и оформлением под бренд. На деле это тонкая обёртка, которая открывает сторонний сайт онлайн-казино. То есть пользователь думал, что ставит «Amazon Slots» или «Monzo Slots», а получил ярлык на азартную площадку.

Netcraft считает, что схему подпитывает партнёрская экономика. В PWA и ссылках есть параметры, которые позволяют отслеживать регистрации и депозиты. По открытым данным, выплаты за игрока, внесшего депозит, могут составлять от $50 до $350. С такими ставками мошенникам есть смысл вкладываться в правдоподобные объявления и массовый запуск рекламы.

В некоторых кампаниях использовались фейковые страницы с вымышленными разработчиками, скачиваниями и отзывами. Были и интерактивные приманки вроде колеса удачи с гарантированным выигрышем, после которого пользователя просили установить PWA, чтобы забрать приз.

Опасность здесь не только в потерянных деньгах. Такие PWA размывают границу между настоящим приложением и подделкой: браузерная оболочка минимальна, и всё выглядит почти как фирменный сервис. Только фирменного там — разве что украденный логотип.

RSS: Новости на портале Anti-Malware.ru