Group-IB: Ущерб от 14 кибератак на криптобиржи составил $882 млн.

Международная компания Group-IB, специализирующаяся на предотвращении кибератак, оценила ущерб от целевых атак на криптобиржи в 2017 году и первые девять месяцев 2018 года в $882 млн. По данным экспертов Group-IB, за этот период были взломаны как минимум 14 криптобирж, причём пять из них атакованы северокорейской хакерской группой Lazarus, в том числе японская биржа Coincheck, потерявшая $534 млн.

Об этом сообщили Coinspot представители компании со ссылкой на данные, которые приведены в ежегодном отчёте Hi-Tech Crime Trends 2018. Один из блоков отчёта, представленного Дмитрием Волковым, CTO Group-IB, на прошедшей международной конференции CyberСrimeCon2018, посвящён анализу деятельности хакеров и мошенников в криптоиндустрии.

Криптобиржи: По следам Lazarus

В большинстве случаев при атаках на криптобиржи хакеры используют традиционные инструменты и схемы, такие как целевой фишинг, социальная инженерия, загрузка вредоносных программ, дефейс сайта. В результате одной успешной атаки хакеры могут украсть десятки миллионов долларов в криптовалюте с минимальным риском быть пойманными, поскольку анонимность при проведении транзакций позволяет злоумышленникам достаточно безопасно вывести средства.

Основным вектором проникновения в корпоративные сети криптобирж остаётся целевой фишинг. Например, злоумышленники отправляют поддельные резюме с темой «Engineering Manager for Crypto Currency job» и документом во вложении «Investment Proposal.doc», за которым скрывается вредоносная программа.

За последние полтора года северокорейская группа Lazarus атаковала как минимум пять криптобирж: Yapizon, Coinis, YouBit, Bithumb, Coinckeck. После заражения хакеры проводили разведку локальной сети, чтобы найти компьютеры или серверы, на которых велась работа с приватными кошельками криптобирж.

Дмитрий Волков, технический директор Group-IB, говорит:

В прошлом году мы предупреждали, что у хакеров, которые могут профессионально провести целенаправленную атаку, появилась новая цель — криптобиржи. От рук организованных хакерских группировок за последние несколько лет пострадали крупные торговые площадки, некоторые из которых после взлома объявили о банкротстве. Например, Bitcurex, YouBit, Bitgrail. В начале 2018 года внимание хакеров к криптобиржам только возросло, поэтому мы ожидаем, что такие группы, как Silence, MoneyTaker и Cobalt, могут провести несколько успешных взломов криптобирж.

ICO: Более 56% средств было похищено с помощью фишинга

Хакеры наносят значительный ущерб ICO-проектам: атакуют фаундеров, членов коммьюнити, сами платформы. В 2017 году было похищено более 10% всех привлечённых инвестиций, а 80% проектов не выполнили обязательства перед инвесторами и исчезли после сбора средств.

Несмотря на пессимистичные прогнозы, финансирование ICO-проектов в текущем году увеличилось: только за первое полугодие 2018 года ICO-проекты собрали почти $14 млрд. — в два раза больше, чем за весь 2017 год ($5,5 млрд.). Таковы данные исследования CVA и PwC. Следовательно, в результате одной успешной атаки у злоумышленников есть возможность украсть значительно больше средств.

В 2018 году атакам подверглись проекты, проводящие закрытый раунд ICO. Например, проект TON (Telegram Open Network), основанный Павлом Дуровым, подвергся фишинговой атаке, в результате чего злоумышленникам удалось украсть около $35 000 в эфириуме. Шквал DDoS-атак, лавина сообщений в каналы Telegram и Slack, спам по списку рассылок, как правило, происходит именно в день старта продаж токенов в рамках проведения ICO.

Наиболее популярным инструментом атак на ICO остаётся фишинг: на него приходится около 56% украденных средств. В разгар криптовалютной лихорадки все стремятся как можно быстрее купить токены (зачастую они продаются с большой скидкой) и не обращают внимания на такие мелочи, как подменённые домены. Крупная фишинговая группировка похищает около $1 млн. в месяц.

Фишинговые атаки на ICO-проекты не всегда проводятся для кражи денег. В этом году зафиксировано несколько случаев кражи баз данных инвесторов, участвующих в ICO. Такая информация впоследствии может продаваться на теневых хакерских форумах или использоваться для шантажа. Относительно новой распространённой схемой мошенничества на рынке ICO стала кража white paper проектов и представление идентичной идеи под своим брендом. Мошенники создают лендинг под новым брендом и с новой командой, но с ворованным описанием, и объявляют о проведении ICO.

Прогнозы: В группе риска — ICO, криптобиржи и майнинговые пулы

• Атаки на ICO по-прежнему будут угрожать всем проектам, которые способны привлечь хорошие инвестиции.
• Для частных инвесторов, работающих с криптовалютами, основной угрозой останутся фишинг и вредоносные программы.
• В 2019 году криптобиржи станут новой целью для наиболее агрессивных хакерских групп, атакующих банки. Количество целенаправленных атак на криптобиржи возрастёт.
• Мошеннические фишинг-схемы с использованием криптобрендов будут усложняться. Уровень подготовки к фишинговым атакам также будет расти, всё большее распространение получит автоматизация фишинга и использование готовых фишинг-наборов (phishing-kits), в частности, для атак на ICO.
• Крупнейшие майнинг-пулы в мире могут стать целью не только киберпреступников, но и прогосударственных атакующих. При определённой подготовке это может позволить им взять под контроль 51% мощностей для майнинга и захватить управление криптовалютой.

Group-IB — один из ведущих разработчиков решений для выявления и предотвращения кибератак, мошеннической деятельности и защиты интеллектуальной собственности в сети; партнёр Interpol и Europol, поставщик решений в сфере кибербезопасности, рекомендованный SWIFT и ОБСЕ.