La cybercriminalité financière en Russie: son fonctionnement;
introductionLe marché de la cybercriminalité en langue russe est connu dans le monde entier. Par «marché en langue russe», nous entendons les cybercriminels citoyens de la Fédération de Russie et de certains pays de l'ex-URSS, principalement l'Ukraine et les États baltes. Pourquoi ce marché est-il connu dans le monde entier? Il y a deux facteurs principaux: le premier est la fréquente couverture médiatique mondiale de l'activité des cybercriminels russes. Le second est l’accessibilité ouverte des plates-formes en ligne utilisées par la communauté des cybercriminels pour les communications, en promouvant une variété de «services» et de «produits» et en discutant de leur qualité et de leurs méthodes d’application, s’il n’ya pas lieu de passer des marchés.Au fil du temps, la gamme de «produits» et de «services» disponibles sur ce marché parallèle a évolué pour devenir de plus en plus axée sur les attaques financières et pour devenir de plus en plus sophistiquée. L'un des types les plus courants de cybercriminalité était (et reste toujours) le chiffre d'affaires généré par les données de cartes de paiement volées. Avec l’émergence de magasins en ligne et d’autres services impliquant des transactions de paiement électronique, les attaques DDoS et la cybercriminalité financière sont devenues particulièrement populaires auprès des fraudeurs dont les cibles principales sont les données de paiement des utilisateurs ou le vol d’argent directement des comptes d’utilisateur ou des entreprises.Les attaques sur les portefeuilles électroniques des utilisateurs et des entreprises ont été lancées par le chevalier ibérique en 2006; Viennent ensuite ZeuS (2007) et SpyEye (2009), suivis des groupes Carberp (2010) et Carbanak (2013). Et cette liste est incomplète; Il existe de plus en plus de chevaux de Troie, utilisés par les criminels pour voler l’argent et les données des utilisateurs.Les transactions financières en ligne devenant de plus en plus courantes, les organisations qui les soutiennent deviennent de plus en plus attrayantes pour les cybercriminels. Au cours des dernières années, les cybercriminels ont de plus en plus attaqué non seulement les clients des banques et des magasins en ligne, mais également les systèmes habilitants des banques et des systèmes de paiement. L'histoire du cybergroupe Carbanak, spécialisé dans l'attaque de banques et qui a été exposée plus tôt cette année par Kaspersky Lab, confirme clairement cette tendance.Les experts de Kaspersky Lab surveillent le pirate informatique russe sous-terrain depuis son apparition. Kaspersky Lab publie régulièrement des rapports sur les cyber-menaces financières, qui suivent l'évolution du nombre d'attaques de logiciels malveillants financières survenues au fil du temps. Les informations sur le nombre d'attaques peuvent indiquer l'étendue du problème mais ne révèlent rien sur qui les crée et comment. Nous espérons que notre examen contribuera à éclairer cet aspect de la cybercriminalité financière.
Entre 2012 et 2015, les forces de l'ordre ont arrêté plus de 160 cybercriminels russophones.
TweetLes données présentées dans cet article ont été compilées à partir de dizaines d’enquêtes auxquelles les experts de Kaspersky Lab ont participé au cours des dernières années, ainsi que de leurs nombreuses années d’observation du marché russe de la cybercriminalité.Aperçu de la situationSelon Kaspersky Lab, entre 2012 et 2015, les services répressifs de différents pays, notamment les États-Unis, la Russie, la Biélorussie, l'Ukraine et l'UE, ont arrêté plus de 160 cybercriminels russophones membres de petites, moyennes et grandes grands groupes criminels. Ils étaient tous soupçonnés de voler de l'argent en utilisant des logiciels malveillants. Le montant total des dommages résultant de leurs activités mondiales a dépassé 790 millions de dollars. (Cette estimation est basée à la fois sur l'analyse des informations publiques sur les arrestations de personnes soupçonnées d'avoir commis une cybercriminalité financière entre 2012 et 2015 et sur les propres données de Kaspersky Lab.) Sur cette somme, environ 509 millions de dollars ont été volés hors des frontières. de l'ex-URSS. Bien entendu, ce chiffre ne comprend que les pertes confirmées, dont les détails ont été obtenus par les autorités répressives au cours de l'enquête. En réalité, les cybercriminels auraient pu voler une quantité beaucoup plus grande.cybercrime_underground_fra_1Nombre d'arrestations de cybercriminels russophones annoncées officiellement entre 2012 et 2015Depuis 2013, l’équipe d’enquêtes sur les incidents informatiques de Kaspersky Lab a participé à l’enquête sur plus de 330 incidents de cybersécurité. Plus de 95% d'entre eux étaient liés au vol d'argent ou d'informations financières.Bien que le nombre d'arrestations de criminels de langue russe soupçonnés de cybercriminalité financière ait considérablement augmenté en 2015 par rapport à l'année précédente, le marché de la cybercriminalité est toujours "encombré". Selon les experts de Kaspersky Lab, la cybercriminalité en russe a recruté au cours des trois dernières années jusqu'à mille personnes. Il s'agit notamment des personnes impliquées dans la création d'infrastructures et dans la rédaction et la distribution de codes malveillants pour voler de l'argent, ainsi que dans celles qui ont volé ou encaissé l'argent volé. La plupart des personnes arrêtées ne sont toujours pas en prison.Nous pouvons calculer assez précisément le nombre de personnes constituant la structure de base d’un groupe criminel actif: les organisateurs,les comptes compromis et les pirates professionnels. Parmi les cybercriminels, il n’ya qu’une vingtaine d’entre eux. Ils consultent régulièrement des forums clandestins et les experts de Kaspersky Lab ont collecté une quantité considérable d'informations suggérant que ces 20 personnes jouent un rôle de premier plan dans des activités criminelles impliquant le vol en ligne d'argent et d'informations.
Le nombre exact de groupes actifs en Russie et en Allemagne ses pays voisins sont inconnus: beaucoup de personnes impliquées dans des activités criminelles participent à plusieurs vols puis, pour diverses raisons, cessent leurs activités. Certains membres de groupes connus mais apparemment dissous poursuivent leurs activités criminelles au sein de nouveaux groupes.Le service d’enquête sur les incidents informatiques de Kaspersky Lab peut désormais confirmer l’activité d’au moins cinq grands groupes cybercriminels spécialisés dans les crimes financiers. Il s’agit des groupes dont les activités ont été surveillées par les experts de la société au cours des dernières années.
Les cinq groupes ont attiré l’attention des experts de la société en 2012-2013 et sont toujours actifs. Ils comptent chacun entre dix et 40 personnes. Au moins deux d'entre eux attaquent activement des cibles non seulement en Russie, mais également aux États-Unis, au Royaume-Uni, en Australie, en France, en Italie et en Allemagne.
Environ 20 personnes, qui constituent la structure de base d'un groupe criminel actif, ont été relâchées. L'enquête sur ces groupes n'étant pas terminée, il est impossible de publier des informations plus détaillées sur les activités de ces groupes. Kaspersky Lab continue d'enquêter sur leurs activités et coopère avec les forces de l'ordre russes et d'autres pays afin de freiner leurs activités cybercriminelles. L'enquête sur les activités de ces groupes a permis aux experts de Kaspersky Lab de se faire une idée de leurs méthodes de la structure du marché des cybercriminels.La structure du marché des cybercriminels en langue russe «Une gamme de produits et de services» Le marché des cybercriminels comprend généralement un ensemble de «services» et de «produits» utilisés pour diverses actions illégales dans le cyberespace.
Ces «produits» et «services» sont proposés aux utilisateurs de communautés en ligne dédiées, dont la plupart sont fermées aux étrangers.
Les «produits» comprennent:
Un logiciel conçu pour obtenir un accès non autorisé à un ordinateur ou à un appareil mobile, afin de voler des données. à partir d'un appareil infecté ou de l'argent d'un compte de victime (les chevaux de Troie); Logiciels conçus pour tirer parti des vulnérabilités du logiciel installé sur l’ordinateur de la victime (exploits); Bases de données de données de cartes de crédit volées et autres informations précieuses; Trafic Internet (un certain nombre de visites sur un site sélectionné par le client par des utilisateurs ayant un profil spécifique.) Les «services» comprennent: la distribution de spam; Organisation d'attaques DDoS (surcharge des sites avec des requêtes afin de les rendre inaccessibles aux utilisateurs légitimes); Tester les logiciels malveillants pour la détection antivirus; «Emballage» des logiciels malveillants (modification de logiciels malveillants à l'aide de logiciels spéciaux (emballeurs) afin qu'ils ne soient pas détectés par un logiciel antivirus); Louer des packs d’exploitation; Location de serveurs dédiés; VPN (accès anonyme aux ressources Web, protection de l'échange de données); Louer un hébergement résistant aux abus (hébergement qui ne répond pas aux plaintes concernant du contenu malveillant et ne désactive donc pas le serveur); Location de botnets; Évaluation des données de carte de crédit volées; Services de validation des données (faux appels, faux documents numérisés); Promotion de sites malveillants et publicitaires dans les résultats de recherche (Black SEO); Médiation de transactions pour l'acquisition de «produits» et de «services»; Retrait d'argent et encaissement. Les paiements pour ces «produits» et «services» sur le marché cybercriminel sont généralement effectués via un système de paiement électronique tel que WebMoney, Perfect Money, Bitcoin et autres.
Tous ces «produits» et «services» sont achetés et vendus dans diverses combinaisons afin de permettre quatre types principaux de crime.
Ces types peuvent également être combinés de différentes manières en fonction du groupe criminel: attaques par DDoS (ordonnées ou menées à des fins d'extorsion); Vol d'informations personnelles et de données pour accéder à de la monnaie électronique (à des fins de revente ou de vol d'argent); Vol d'argent sur les comptes de banques ou d'autres organisations; Espionnage domestique ou d'entreprise; Blocage de l'accès aux données sur l'ordinateur infecté aux fins d'extorsion de fonds: selon les experts de Kaspersky Lab, le vol d'argent est actuellement le type de crime le plus répandu. Le reste du présent rapport se concentre donc sur ce segment du marché de la cybercriminalité en russe.
Le «marché du travail» de la cybercriminalité financièreLa diversité des compétences requises pour la création de «produits» et la fourniture de «services» a donné lieu à une expérience unique. marché du travail des professionnels impliqués dans la cybercriminalité financière. La liste des rôles clés est presque identique à celle de toute entreprise liée aux technologies de l’information: programmeurs / encodeurs / auteurs de virus (pour la création de logiciel et modification des logiciels malveillants existants); Concepteurs de sites Web (pour la création de pages d'hameçonnage, de courriels, etc.); Administrateurs système (pour la construction et le support de l'infrastructure informatique); Testeurs (pour tester le logiciel malveillant); "Cryptors" (responsables de la compression des codes malveillants pour contourner la détection antivirus). La liste n'inclut pas les responsables des groupes criminels, les gestionnaires de flux monétaires chargés de retirer de l'argent des comptes compromis et les responsables de mules contrôlant le processus. d'encaisser l'argent volé. En effet, la relation entre ces éléments des groupes criminels n’est pas une relation employeur-employé, mais davantage un partenariat.
Selon le type et l’ampleur de l’activité criminelle, les chefs des groupes emploient du «personnel» et les rémunèrent. un salaire fixe ou travaillez avec eux sur une base indépendante en payant pour un projet particulier.
Cybercriminalité financière en Russie: son fonctionnement
Une offre d'emploi publiée sur un forum semi-fermé invitant un programmeur à rejoindre un groupe de cybercriminels. Les compétences requises incluent une expérience dans la rédaction de robots complexes. Les «employés» sont recrutés via des sites sur lesquels les personnes impliquées dans des activités criminelles se rassemblent traditionnellement ou via des ressources destinées aux personnes intéressées par des moyens non conventionnels de gagner de l'argent en ligne. Dans certains cas, les annonces sont placées sur les principaux sites de recherche d’emploi ou sur les bourses de travail des employés distants. Nous pouvons confirmer l’activité d’au moins 5 grands groupes de cybercriminels spécialisés dans les crimes financiers
Tweet
En général, les employés impliqués dans la cybercriminalité peuvent être divisés en deux types: ceux qui sont conscients de l’illégalité du projet ou du travail qui leur est proposé, et ceux qui (au moins au début) ne sais rien. Dans ce dernier cas, il s’agit généralement de personnes effectuant des opérations relativement simples, telles que la copie de l’interface des systèmes et sites bancaires. En annonçant de "véritables" offres d’emploi, les cybercriminels s’attendent souvent à trouver des employés de régions éloignées de la Russie et des pays voisins ) où les problèmes liés aux possibilités d'emploi et aux salaires des informaticiens sont assez graves.
La cybercriminalité financière en Russie: son fonctionnement
Un fraudeur a publié un avis de vacance pour un poste de spécialiste java / flash sur un site web ukrainien très apprécié. Les exigences du poste incluent un bon niveau de compétences en programmation en Java, Flash, une connaissance des spécifications JVM / AVM, etc. L'organisateur propose un travail à distance et un plein emploi avec un salaire de 2 500 dollars. L'idée de rechercher des «employés» dans ces régions est simple: ils réalisent des économies, car le personnel peut être moins payé que les employés basés dans les grandes villes. Les criminels accordent également souvent la préférence aux candidats qui n’ont jamais été impliqués dans des activités de cybercriminalité. Souvent, de telles offres d’emploi sont présentées comme des tâches légitimes, leur véritable objectif n’apparaissant que lorsque la tâche aura été reçue.
La cybercriminalité financière russe: comment travaux
Dans cet exemple, l'organisateur du groupe criminel propose un travail à un programmeur javascript, en le masquant sous un poste vacant dans un «studio d'innovation sur le Web spécialisé dans le développement d'applications Internet hautement sophistiquées». Dans le cas des sites de recherche d'emploi illégaux, Des candidats moins expérimentés sont attendus.
Cybercriminalité financière russe: son fonctionnement
Cet emploi vacant invite un développeur C ++ à développer un logiciel "sur mesure". Dans ce contexte, «logiciel personnalisé» désigne un logiciel malveillant. La deuxième raison en faveur du «personnel» distant est l'objectif de l'organisateur visant à rendre l'activité du groupe aussi anonyme que possible et à faire en sorte qu'aucun sous-traitant ne dispose d'informations complètes sur le groupe. .Options pour l'organisation d'un groupe criminelLes groupes criminels impliqués dans le vol d'argent ou d'informations financières qui leur permettront d'accéder à de l'argent, diffèrent par le nombre de participants et l'étendue des activités. Il existe trois principaux types d’intervention: Programmes d’affiliation Concessionnaires individuels, groupes de petite et moyenne taille (jusqu’à dix membres) Grands groupes organisés (dix participants ou plus) Cette division est symbolique. L’ampleur de l’activité du groupe dépend de la compétence de ses participants, de leur ambition et du niveau global des capacités organisationnelles.
Dans certains cas, les experts de Kaspersky Lab ont rencontré des groupes criminels relativement petits qui effectuaient des tâches nécessitant généralement un plus grand nombre de participants.Programmes d'affiliation Les programmes d'affiliation sont la méthode la plus simple et la moins coûteuse de participer à des activités de cybercriminalité. L'idée derrière un programme d'affiliation est que les organisateurs fournissent à leurs "affiliés" presque tous les outils dont ils ont besoin pour commettre un crime. Les «filiales» ont pour tâche de générer le plus grand nombre possible d’infections par programmes malveillants. En retour, le ou les propriétaires du programme d'affiliation partagent les revenus perçus à la suite de ces infections avec les affiliés.
Selon le type de stratagème frauduleux, cela pourrait représenter une partie: des sommes volées sur les comptes des utilisateurs des services bancaires par Internet; L'argent payé par l'utilisateur en guise de rançon lorsque les cybercriminels utilisent des chevaux de Troie de ransomwares; L'argent volé sur les comptes «prépayés» des utilisateurs d'appareils mobiles en envoyant des SMS à des numéros mobiles premium à l'aide d'un programme malveillant.Créer et soutenir un programme d'affiliation dans le but de voler de l'argent est un cybercrime commis, en règle générale , par un groupe d'utilisateurs.
Cependant, de tels projets sont souvent réalisés par de grands groupes organisés dont l'activité est analysée plus loin dans ce document.La cybercriminalité financière en Russie: son fonctionnement Cette annonce annonce le lancement du test bêta d'un programme d'affiliation utilisé pour distribuer le cryptage de ransomware. À en juger par ses caractéristiques, l’activité du groupe est axée sur les sociétés situées aux États-Unis et au Royaume-Uni.
Ceci est indiqué par le commentaire indiquant que le logiciel malveillant distribué via le réseau partenaire est capable de chiffrer des fichiers avec 80 extensions différentes, dont la plupart sont des fichiers d’applications utilisées par les entreprises. Le texte sur les conditions à remplir par les candidats pour participer à des tests inclut une démonstration de la présence de trafic ou de téléchargements depuis les États-Unis et le Royaume-Uni. Selon les experts de Kaspersky Lab, les programmes d'affiliation sont de moins en moins populaires auprès des cybercriminels de langue russe. Les stratagèmes frauduleux utilisés pour infecter les appareils mobiles des utilisateurs avec des programmes malveillants, qui envoyaient ensuite des SMS à des numéros premium, avaient été le principal moteur de leur popularité.
Toutefois, au printemps 2014, le régulateur russe a introduit de nouvelles exigences en matière d'organisation de tels services, notamment la nécessité d'obtenir une confirmation supplémentaire de l'abonnement à un service mobile payant donné. Ce changement a permis de réduire pratiquement le nombre de programmes malveillants de partenaires mobiles. Néanmoins, ce type d’activité cybercriminelle commune est encore utilisé par des groupes spécialisés dans la distribution de ransomwares cryptés.
De petits groupes Ce qui distingue cette forme d’activité cybercriminelle d’un programme d’affiliation est que, dans ce cas, le ou les criminels organisent leur propre stratagème frauduleux. La plupart des composants nécessaires à l'attaque, tels que les logiciels malveillants et leurs modifications (logiciels malveillants «reconditionnés»), le trafic, les serveurs, etc., sont achetés sur le marché noir. Souvent, les membres de ces groupes ne sont pas des experts dans le domaine des technologies informatiques et de réseau; ils découvrent les composants et l'organisation d'attaques financières auprès de sources publiques, généralement des forums. Les capacités de ces groupes peuvent être limitées par un certain nombre de facteurs. Plus précisément, l'utilisation de logiciels malveillants largement disponibles permet une détection rapide par les solutions de sécurité. Cela fait en sorte que les cybercriminels investissent plus d’argent dans la distribution de logiciels malveillants et dans leur «réemballage» pour contourner la détection. Le résultat final est une chute importante des profits de l'attaquant. Les erreurs commises par ce type de cybercriminel aboutissent souvent à leur identification et à leur arrestation. Cependant, en tant qu’entrée relativement peu coûteuse dans le monde des activités cybercriminelles (à partir de 200 dollars), ce format «amateur» continue d’attirer de nouveaux revendeurs. Un exemple d’une telle organisation criminelle «amateur» est le groupe qui a été reconnu coupable en 2012 par le tribunal russe pour avoir volé plus de 13 millions de roubles (alors d'une valeur d'environ 422 000 dollars) des clients en ligne d'une banque russe. Au cours d'une enquête approfondie, les experts de Kaspersky Lab ont pu collecter les informations permettant aux autorités répressives d'identifier les auteurs du vol. Le tribunal a condamné deux membres du groupe criminel, condamnés à une peine de quatre ans et demi avec sursis. Cependant, ce verdict n’a pas arrêté les criminels et ils ont continué à commettre des crimes, volant presque autant au cours des deux prochaines années et demie.
Ils ont été arrêtés de nouveau en mai 2015.
Grands groupes criminels organisés
Les grands groupes criminels diffèrent des autres acteurs, tant par une activité à plus grande échelle que par une approche plus approfondie de l'organisation et du fonctionnement des stratagèmes criminels. Ces groupes peuvent comprendre plusieurs dizaines de personnes (non compris les mules servant à encaisser et à "blanchir" de l'argent). Les cibles de leurs attaques ne se limitent pas aux clients des services bancaires en ligne: elles s'attaquent également aux petites et moyennes entreprises. les plus importants et les plus sophistiqués, tels que Carbanak, se concentrent principalement sur les banques et les systèmes de paiement électronique. La structure opérationnelle des grands groupes diffère considérablement de celle des groupes plus petits. Dans une certaine mesure, la structure est celle d'une entreprise de taille moyenne, moyenne, engagée dans le développement de logiciels.
En particulier, les grands groupes ont un certain type de personnel régulier - un groupe de collaborateurs qui effectuent des tâches organisationnelles en échange d'un paiement fixe régulier. . Cependant, même dans ces grands groupes professionnels, certaines tâches sont confiées à des tiers. Par exemple, le «réemballage» des logiciels malveillants peut être effectué par le personnel ou des rédacteurs de virus embauchés, ou par le biais de services tiers lorsque le processus est automatisé aidé d'un logiciel spécial. Il en va de même pour de nombreux autres éléments de l’infrastructure informatique nécessaires à la perpétration de crimes. Les exemples de grands groupes criminels organisés sont Carberp, dont les membres ont été arrêtés respectivement en Russie et en Ukraine en 2012 et 2013, et Carbanak, démasqué par Kaspersky Lab au début de l'année. 2015.Bien que les dommages causés par l'activité des programmes partenaires et des petits groupes puissent atteindre des centaines de milliers de dollars, les grands groupes criminels sont les plus dangereux et les plus destructeurs. Les dommages estimés causés par Carberp atteignent plusieurs centaines de millions de dollars (jusqu'à un milliard).
À cet égard, il est extrêmement important d’étudier le fonctionnement de ces groupes et la tactique qu’ils utilisent, car ils renforcent notre capacité à enquêter efficacement sur leur activité et, en fin de compte, à la supprimer. Répartition des rôles dans un grand groupe de cybercriminelsUne cybercriminalité financière entreprise par des criminels Les «experts» en sécurité et dans le secteur financier peuvent entraîner des pertes de plusieurs millions de dollars pour les organisations attaquées.
En règle générale, ces crimes sont précédés de plusieurs mois de préparation. Cette préparation comprend la construction d’une infrastructure complexe, la sélection et le développement de logiciels malveillants, ainsi qu’une étude approfondie de l’organisation cible afin de clarifier les détails de ses opérations internes et de ses vulnérabilités en matière de sécurité. Chaque membre du groupe criminel a ses propres responsabilités.
La cybercriminalité financière russe: son fonctionnement
La répartition des rôles suivante est typique d'un groupe criminel impliqué dans le vol d'argent. La répartition des rôles dans des groupes spécialisés dans d'autres types de cybercriminalité peut être différente.Enregistreur de virus / ProgrammeurUn écrivain ou programmeur de virus est responsable de la création de programmes malveillants, c'est-à-dire des programmes qui permettent aux attaquants de prendre pied dans le réseau d'entreprise de la cible. organisation, téléchargez des logiciels malveillants supplémentaires qui vous aideront à obtenir les informations nécessaires, puis volez de l’argent. L’importance de ce membre du groupe et la nature de leur relation avec les organisateurs peuvent varier d’un groupe à l’autre. Par exemple, si le groupe utilise des logiciels malveillants prêts à l’emploi provenant de sources ouvertes ou achetés à d’autres auteurs de virus, leurs fonctions peuvent se limiter à la configuration et à la modification de programmes malveillants afin de fonctionner dans l’infrastructure créée spécifiquement pour une cybercriminalité donnée, ou pour l’adapter à attaques contre des institutions spécifiques. Les groupes les plus avancés, cependant, ont tendance à s'appuyer sur leurs propres «développements», car ils rendent un programme malveillant moins visible pour la plupart des solutions de sécurité et offrent davantage d'opportunités pour la modification de logiciels malveillants. Le cas échéant, le rôle du créateur de virus devient plus important car il est responsable de l’architecture et de l’ensemble des fonctionnalités d’un programme malveillant. Un auteur de virus peut également assumer la responsabilité du «reconditionnement» des programmes malveillants. Mais cela ne se produit que lorsque l'organisateur souhaite conserver le nombre maximal de tâches dans le groupe et que le logiciel d'origine est utilisé pour le «reconditionnement» des programmes malveillants. Toutefois, dans la plupart des cas, cette procédure est transférée à des tiers ou à des prestataires de services d’emballage.
Testeurs La fonction des vérificateurs dans un groupe criminel n’est pas très différente de celle des vérificateurs travaillant dans des entreprises informatiques du secteur juridique. Dans les deux cas, les testeurs reçoivent de leurs gestionnaires les spécifications permettant de tester des programmes dans différents environnements (différentes versions de systèmes d'exploitation, différents ensembles d'applications installées, etc.) et les exécutent. Si un stratagème frauduleux implique de fausses interfaces de systèmes de banque à distance ou de paiement électronique, les testeurs doivent également surveiller le bon fonctionnement de ces contrefaçons. Web designers et programmeurs Web En règle générale, les concepteurs et les programmeurs Web sont des employés distants, chargés notamment de créer du phishing. pages et sites Web, fausses interfaces d'applications et applications Web, qui servent tous à voler des données pour accéder au système de paiement et de banque en ligne. Distributeurs Les distributeurs ont pour objectif de garantir le téléchargement de logiciels malveillants sur autant d'appareils que possible. Le résultat est obtenu en utilisant plusieurs outils. En règle générale, l'organisateur de groupe détermine le profil des utilisateurs à infecter et achète le type de trafic requis aux "fournisseurs de trafic" (services destinés à attirer des utilisateurs présentant certaines caractéristiques sur un site web en particulier).
Cybercriminalité financière russe: son fonctionnement
Annonce offrant d'acheter du trafic. Les cybercriminels ne sont disposés à payer que pour l'installation réussie de logiciels malveillants à 140 $ par 1 000 «rappels» (un message envoyé par le logiciel malveillant au serveur de commande après une infection réussie). L'organisateur peut choisir et commander un spam. mailing contenant un fichier joint infecté ou un lien menant une victime vers un site Web malveillant. Les organisateurs peuvent également choisir le site avec le public cible nécessaire. impliquer les hackers pour y pénétrer et y placer le pack d’exploits Bien sûr, tous ces outils peuvent être utilisés en combinaison les uns avec les autres. HackersOften, au cours d'une attaque,les exploits et autres logiciels malveillants dont dispose l'organisateur ne suffisent pas pour infecter tous les ordinateurs nécessaires à l'attaque et pour les ancrer. Il peut s'avérer nécessaire de pirater un ordinateur ou un site spécifique. Dans de tels cas, les organisateurs impliquent des pirates informatiques, des personnes qui possèdent des compétences considérables en matière de sécurité de l’information et qui sont en mesure d’exécuter des tâches non standard. Dans de nombreux cas examinés par les experts de Kaspersky Lab, des pirates informatiques ont été occasionnellement impliqués et rémunérés à l'acte. Toutefois, si le piratage est requis régulièrement (par exemple, pour des attaques ciblées contre des institutions financières), un pirate informatique devient un "membre de l'équipe" et constitue souvent l'un des principaux participants du groupe de cybercriminels, aux côtés des organisateurs et des gestionnaires de flux financiers.
Administrateurs système
Administrateurs système Les groupes de cybercriminels exécutent des tâches presque identiques à celles de leurs homologues au sein d'entreprises légitimes: ils mettent en place l'infrastructure informatique et la maintiennent en état de fonctionnement. Les administrateurs système cybercriminels configurent des serveurs de gestion, achètent des hébergements résistent aux abus, garantissent la disponibilité des outils de connexion anonyme aux serveurs (VPN) et résolvent d’autres problèmes techniques, notamment l’interaction avec les administrateurs système distants embauchés pour effectuer de petites tâches.Call servicesSocial l'ingénierie est importante pour le succès de l'entreprise cybercriminelle. Surtout quand il s’agit d’attaques contre des organisations qui entraînent le vol d’énormes sommes d’argent. Dans la plupart des cas, même si les attaquants sont en mesure d’établir le contrôle sur l’ordinateur à partir duquel la transaction pourrait être effectuée, il est nécessaire de confirmer sa légitimité pour mener à bien l’opération. C’est à cela que sert le «service d’appel». À l’heure indiquée, ses «employés» jouent le rôle d’employé de l’organisation attaquée ou de la banque avec laquelle elle travaille et confirment la légitimité de la transaction. Les «services d’appel» peuvent participer à une cybercriminalité particulière, à la fois comme une subdivision. du groupe criminel, ou en tant qu’organisation tierce, effectuant une tâche spécifique contre rémunération. Les forums que les utilisateurs impliqués dans la cybercriminalité utilisent pour communiquer avec chacun contiennent de nombreuses annonces proposant de tels services.
Cybercriminalité financière en russe: son fonctionnement
Cette publicité propose des «services d'appel» en anglais, allemand, néerlandais et français. Le groupe est spécialisé dans les appels vers les magasins Internet et les banques, ainsi que vers les mules dupés. En outre, le groupe propose la création rapide de numéros sans frais locaux utilisés pour imiter les services d'assistance dans les systèmes frauduleux, la réception de SMS, ainsi que la réception et l'envoi de fax. Les criminels demandent entre 10 et 12 USD pour un appel, 10 USD pour la réception de SMS et 15 USD pour la création de numéros sans frais. Selon Kaspersky Lab, les grands groupes de cybercriminels préfèrent disposer de leurs propres "services d'appel". Fournisseurs tiers. Gestionnaires de flux financiers Les gestionnaires de flux financiers sont des membres du groupe des cybercriminels qui interviennent lorsque toutes les tâches techniques nécessaires à l'organisation de l'attaque (choisir et infecter la cible et l'ancrer dans son infrastructure) sont remplies et que tout est prêt à être utilisé. le vol Les gestionnaires de flux monétaires sont les personnes qui retirent de l’argent de comptes compromis. Cependant, leur participation ne se limite pas à appuyer sur les touches; ils jouent un rôle clé dans tout le processus. La liste des rôles clés dans les cyber-gangs financiers est presque identique à celle des sociétés informatiques Les gestionnaires de flux TweetMoney comprennent généralement parfaitement les règles internes de l'organisation attaquée (ils connaissent même les heures de repas de l'employé à partir de l'ordinateur duquel la transaction frauduleuse sera effectuée). Ils savent comment fonctionnent les systèmes anti-fraude automatisés et comment les contourner. En d'autres termes, en plus de leur rôle criminel en tant que voleurs, les gestionnaires de flux financiers effectuent des tâches «expertes» difficiles, voire impossibles à automatiser. Peut-être en raison de ce statut particulier, les gestionnaires de flux financiers sont l’un des rares membres du groupe criminel à percevoir un pourcentage de l’argent volé plutôt qu’un «salaire» fixe. Les gestionnaires de flux financiers agissent souvent en tant qu’opérateurs de réseaux de zombies. C'est-à-dire les membres du groupe criminel qui analysent et classifient les informations obtenues à partir d'ordinateurs infectés (accès aux services de banque à distance, disponibilité d'argent sur les comptes auxquels on pourrait accéder, organisation où se trouve l'ordinateur infecté, etc.). Chargeurs de fonds, ces «conditions de travail» ne sont partagées que par les responsables des projets de mulets. Head of Mules (Chef de projet «Mule») Le responsable de mules est un représentant du groupe criminel qui travaille en étroite collaboration avec les personnes impliquées dans le processus de vol d'argent. .
La fonction des mules est d’obtenir l’argent volé, de l’encaisser et de transférer au groupe criminel sa juste part. Pour ce faire, le chef des mules construit sa propre infrastructure, composée d’entités juridiques et de personnes disposant de leurs propres comptes bancaires, vers laquelle l’argent volé est transféré et duquel il est ensuite retiré et transféré dans les poches des fraudeurs. Le chef de projet mule coopère avec l'organisateur du groupe criminel et lui fournit les numéros des comptes auxquels le chargeur de fonds envoie l'argent volé. Les chefs de projet mule et les gestionnaires de flux monétaires travaillent sur une commission qui, selon les informations obtenues par Kaspersky Lab au cours de l'enquête, peut représenter la moitié de la somme volée.Les «projets» Mule
Les projets Mule sont un élément essentiel de toute cybercriminalité financière. Ces groupes comprennent un ou plusieurs organisateurs et plusieurs dizaines de mulets individuels. Un mulet (ou un porteur) est un détenteur d'un moyen de paiement qui, sur ordre du gestionnaire des mules, encaisse l'argent reçu sur son / un compte, ou Le transfère à un autre compte, comme spécifié par le responsable des mules. Les mules peuvent être divisées en deux types: dupé et non-dupé. Les mulets doublés sont des personnes qui, au moins au début de leur coopération avec le responsable des mules, ne réalisent pas qu’elles sont impliquées dans un stratagème criminel. En règle générale, la tâche d'obtenir et de transférer de l'argent leur est présentée sous un prétexte plausible. Par exemple, le gestionnaire de mules monétaires peut créer une personne morale et nommer à un poste de direction (directeur général ou directeur financier, par exemple) une personne qui exercera les fonctions de mule dupé: par exemple, la signature de documents d'entreprise qui servir de tamis juridique pour le retrait de l'argent volé.Les mules non dupées sont bien conscientes du but réel des tâches du gestionnaire de mules pour l'argent. Les options utilisées par les projets de mules pour retirer de l'argent sont multiples. Selon le montant de l'argent volé, ils peuvent inclure des détenteurs individuels de cartes de crédit disposés à encaisser de l'argent et à le remettre au représentant du gestionnaire de mules pour une somme modique, ou des entités juridiques spécialement créées, dont les représentants ouvrent des «projets salariaux» (crédit). cartes de transfert des salaires des employés de l'entreprise) dans leur banque d'entreprise. Une autre méthode courante pour construire un système de mules consiste à ouvrir des dizaines de comptes dans plusieurs banques à l'aide de mules non-dupées. Cybercriminalité financière russe: son fonctionnement Cette annonce propose des ensembles de paiements les cartes (la carte, les documents sur lesquels la carte a été autorisée, la carte SIM à laquelle le compte bancaire de la carte est associé) pouvant être utilisées pour encaisser de l'argent volé. Pour la vente est la carte émise par les banques russes et les banques des pays voisins, ainsi que des banques des pays d'Europe, d'Asie et des États-Unis. Le jeu de type Momentum coûte 3 000 roubles (moins de 50 dollars), le jeu contenant la carte Platinum - 8 000 roubles (environ 120 dollars).
Lorsque le vol a lieu en dehors de la Russie, le rôle des mules non dupées est joué par un citoyen ou groupe de citoyens d’un pays de l’Europe de l’Est qui, dans un court laps de temps, se rend dans plusieurs pays du continent et dans chacun d’eux ouvrent des comptes en leur nom Les mules non-dupe fournissent ensuite au gestionnaire des mules les données nécessaires pour accéder à tous ces comptes. Ces comptes sont utilisés ultérieurement pour retirer l'argent volé. Cybercrime_underground_fra_11
Un exemple d'annonce proposant à la vente une liste de sociétés enregistrées dans la Fédération de Russie et dans la zone offshore. Les services des cybercriminels coûtent entre 560 $ et 750 $.
Stuffers
Le mot "stuffer" vient du mot "stuff" (un mot familier pour "marchandises"). Une façon de retirer de l'argent volé est d'acheter des biens dans les magasins en ligne avec l'argent volé, de les revendre et de restituer aux fraudeurs leur pourcentage dû. Ceci est fait par les bourreaux, les membres des groupes de cybercriminels engagés dans des dépenses de comptes compromis pour acheter des biens dans des magasins en ligne. En fait, un bourrage est une variante du gestionnaire de flux monétaires. Le retrait d'argent en achetant des biens est généralement pratiqué si les sommes volées sont relativement petites. En règle générale, les manutentionnaires travaillent en équipe avec les clôtures. Travailler «en tandem» implique souvent l'achat d'un certain type de biens, parfois auprès d'un fabricant spécifique ou d'un modèle clairement défini.
Organisateur
Si nous considérons la cybercriminalité comme un projet, l'organisateur du groupe criminel en est le directeur général. Leurs tâches consistent généralement à financer la phase préparatoire de l'attaque, à attribuer des tâches à des exécutants, à surveiller leur performance et à interagir avec des agents tiers tels que des projets de mules et des services d'appel (si le groupe ne dispose pas de son propre). L'organisateur détermine les cibles des attaques, sélectionne les «spécialistes» nécessaires et négocie avec eux. Étapes des attaques Il convient de noter que les classifications ci-dessus ne sont pas figées. Dans certains cas, un seul membre du groupe criminel peut combiner plusieurs rôles.
Néanmoins, quel que soit le nombre de personnes qui les exécutent, chacun des rôles décrits peut être trouvé lors d'enquêtes sur presque tous les incidents de cybercriminalité liés à l'argent. Voici comment ils fonctionnent en «temps réel». Exploration. Quand il s’agit d’attaques ciblées sur une entreprise donnée, l’organisateur demande d’abord aux contractants desinformations sur la société, ce qui aidera à développer un schéma d'ingénierie sociale plausible pour la première étape de l'attaque. Si nous parlons d’une attaque sur des utilisateurs individuels, la phase d’exploration préliminaire est ignorée ou limitée au choix d’un «public cible» pour l’attaque (par exemple, les utilisateurs du service bancaire en ligne d’une banque donnée) et à la création d’e-mails de phishing et sites de phishing avec un contenu pertinent. Infection. La pénétration du réseau de l’entreprise se fait par spear-phishing ou mass-mailing contenant une pièce jointe contenant le document spécial ou un lien Web malveillant. Ouvrir la pièce jointe ou suivre le lien mène à une infection par un logiciel malveillant.
Souvent, l’infection se produit automatiquement sans que l’utilisateur se soit rendu compte de son existence ou de sa participation. Après avoir cliqué sur le lien, un programme malveillant est automatiquement téléchargé sur l’ordinateur de l’utilisateur (téléchargement en passant) et s’exécute sur ce dernier. Dans d'autres cas, l'infection est réalisée via des sites populaires compromis sur lesquels est placé un outil qui redirige invisiblement les utilisateurs vers un site tiers contenant un ensemble d'exploits. Une fois sur ce site, l'utilisateur sera infecté par des logiciels malveillants. Une fois à l'intérieur du système, les cybercriminels utilisent un certain nombre d'outils malicieux pour consolider leur présence. Par exemple, pour vous assurer que le logiciel malveillant est réinstallé sur les sites internes d’organisations compromises lorsque le logiciel de sécurité de l’entreprise supprime la version précédente. De plus, les attaquants sont souvent configurés dans le logiciel d'infrastructure de l'organisation attaquée, ce qui permet un accès facile au réseau d'entreprise interne depuis l'extérieur. Exploration et mise en œuvre. Les programmes d’administration et de gestion masqués et à distance sont téléchargés sur des ordinateurs compromis. Les cybercriminels les utilisent pour obtenir les informations d’identité des administrateurs système. Les programmes légaux de gestion et d'administration à distance dont les fonctionnalités sont connues de nombreux utilisateurs sont souvent utilisés à cette fin. Vol d'argent.
Enfin, les cybercriminels accèdent aux systèmes financiers de l’organisation ciblée et transfèrent de l’argent de ses comptes vers les comptes des projets mules ou retirent de l’argent directement à des distributeurs automatiques.
Conclusion
La cybercriminalité financière adossée à des criminels russophones s’est généralisée ces dernières années. la croissance est due à un certain nombre de causes. Les principales sont: manque de personnel qualifié dans les forces de l’ordre; Législation inadéquate permettant dans bien des cas aux criminels d’éviter toute responsabilité ou de recevoir une peine plus légère Manque de procédures établies pour la coopération internationale entre les services répressifs et des organisations d'experts de différents pays. Contrairement au monde réel, un vol qualifié dans le cyberespace passe généralement inaperçu et il existe très peu de temps pour recueillir des preuves numériques après le crime. De plus, les criminels n'ont pas besoin de rester dans le pays où le crime est commis.
Malheureusement, pour les cybercriminels russophones, les conditions actuelles sont plus que favorables: le risque de poursuites est faible et les avantages potentiels élevés.
En conséquence, le nombre de crimes et les dommages causés par ceux-ci augmentent et le marché des services cybercriminels prend de l'ampleur. Les coûts d'entrée relativement faibles (200 USD) dans la cybercriminalité attirent de nouveaux revendeurs
Tweet
Le manque de mécanismes de coopération internationale bien établis est également entre les mains des criminels: les experts de Kaspersky Lab savent par exemple que les membres de certains groupes criminels résident et travaillent en permanence. Les voisins de la Russie, tandis que les citoyens des États voisins impliqués dans des activités criminelles vivent et opèrent souvent sur le territoire de la Fédération de Russie.Kaspersky Lab fait tout son possible pour mettre fin aux activités de groupes de cybercriminels et encourage les autres entreprises et les forces de l'ordre dans tous les pays. L’enquête internationale sur l’activité de Carbanak, lancée par Kaspersky Lab, est le premier exemple de coopération internationale réussie. Si le monde souhaite voir un changement sérieux et positif, il devrait y avoir davantage de cas de ce type. Référence. Enquête sur les incidents informatiques de Kaspersky Lab Kaspersky Lab est un développeur réputé de solutions de sécurité anti-malware.
Mais la société fournit une protection complète, y compris des services d’enquête sur les incidents informatiques.La preuve d’un incident, présentée principalement sous forme de données numériques, doit être collectée et enregistrée de manière à éviter tout doute quant à l’enquête et au procès. Lorsqu'une victime introduit une requête devant un tribunal.
L'enquête sur les incidents informatiques de Kaspersky Lab est chargée: de réagir aux incidents de sécurité informatique et de fournir une analyse rapide de la situation; Recueillir des preuves numériques et déterminer les circonstances des incidents de sécurité informatique conformément aux procédures établies; Analyser les preuves recueillies, rechercher les informations relatives aux circonstances de l’incident et les corriger; Préparation du matériel pour l’application de la victime aux organismes d'application de la loi; Fournir un soutien expert aux opérations d'enquête.
Une quantité énorme de données est traitée lors d'interventions en cas d'incident de sécurité informatique et lors des opérations d'enquête connexes.
L'analyse de ces données, associée aux statistiques sur les objets malveillants détectés, identifie les tendances en matière de comportement criminel dans le cyberespace.
Le département d'enquête sur les incidents informatiques de Kaspersky Lab, créé en 2011, compte six experts légistes.
REF.:
