На клиентов онлайн-банков открыли охоту стилеры

Количество скомпрометированных учетных записей пользователей крупных банков в России и СНГ в 2023 г. выросло в 4,6 раза – с 496 до 2282 хостов (компьютеров), говорится в отчете компании F.A.C.C.T. (бывшая Group IB). Исследователи уточнили, что считали количество зараженных хостов, на которых стилер (вредоносное ПО) собрал одну или несколько учетных записей от онлайн-банкинга. Причем, если на одном хосте было скомпрометировано несколько учетных записей от разных банков, в статистике все они были объединены в одну жертву. Исследователи проанализировали 20 банков России и стран СНГ.

Стилер – это класс вредоносных программных продуктов (ВПО), который используется для получения логов – сведений о соединении и устройстве, предназначенных для удаленного подключения к онлайн-сервисам, т. е. для кражи авторизационного доступа, поясняет руководитель департамента расследований T.Hunter, эксперт рынка НТИ SafeNet Игорь Бедеров. Чаще всего в логи попадают логин, пароль, а также файлы cookies, содержащие сведения о системе и соединении, которые используются дополнительно для авторизации, уточняет он.

За 2023 г. эксперты F.A.C.C.T. обнаружили около 300 облаков логов (UCL – закрытые Telegram-каналы или андеграундные форумы), которые предоставляют доступ к украденным данным, полученным в основном с помощью стилеров. После начала СВО был определенный бум распространения стилеров, так как они являются простым массовым средством воровства доступа к различным системам, поясняет Бедеров.

По мнению руководителя Bi.Zone Threat Intelligence Олега Скулкина, рост числа облаков логов связан с популярностью стилеров, которые злоумышленники могут купить по модели malware-as-a-service (MaaS), скачать «взломанные» версии или найти варианты с открытым исходным кодом. Его высокая популярность обусловлена низкой ценой, уточняет директор центра Национальной технологической инициативы (НТИ) «Сейфнет» Технопарка Санкт-Петербурга Вадим Куракин. В отличие от многих других вирусов, ВПО практически не проявляет себя, что делает его обнаружение сложнее без антивируса и других средств защиты, уточняет ведущий эксперт сервиса аналитики и оценки цифровых угроз Ethic ГК Softline Владислав Иванов.

Для краж данных пользователей из РФ и СНГ чаще используют Meta Stealer (подвид стилера RedLine), у которого отсутствует запрет на заражение компьютеров в этих регионах. Абсолютное число украденных с помощью Meta Stealer логов в 2023 г. увеличилось в 15 раз год к году (абсолютные цифры не приводятся). В основном это связано с ростом количества Telegram-каналов, в которых публикуют подобные логи, в том числе дублируя другие источники, поясняют исследователи. После отсева «дублей» в разных UCL исследователи выяснили, что количество уникальных хостов, зараженных стилером, выросло в 3,6 раза год к году. Наибольшее число скомпрометированных записей в 2023 г. было выявлено в России (7886 хостов), Азербайджане (2050), Узбекистане (1908) и Казахстане (1196).

Проанализировав логи с андеграундных маркетов, имеющих отношение к России и странам СНГ, аналитики F.A.C.C.T. пришли к выводу, что их количество в 2023 г. относительно 2022 г. выросло на 40%. «Стоит учесть, что на андеграундных маркетах часто соблюдается негласное правило «не работать по РУ» (российскому интернет-сегменту. – «Ведомости»). Предположительно, по этой причине в продаже обычно отсутствуют логи с Meta Stealer, а также в фильтрах для выбора страны отсутствует Россия», – поясняют исследователи. Несмотря на это, по списку косвенных признаков достаточно точно можно идентифицировать такие логи, говорится в исследовании. Среди стран СНГ, скомпрометированные логи которых были выставлены на продажу на андеграундных маркетах, кроме России (2183) оказались Азербайджан (5523), Узбекистан (798) и Армения (790).

По словам руководителя центра мониторинга внешних цифровых угроз Solar Aura ГК «Солар» Александра Вураско, рост объема украденных данных на подпольных рынках в 2023 г. обусловлен увеличением публикаций логов в общем доступе. По словам Иванова, рост также связан с использованием теневых форумов и Telegram-каналов в качестве основных площадок для распространения украденных данных. Распространение будет шириться пропорционально общему числу утечек данных, считает он. Опрошенные «Ведомостями» эксперты в целом ожидают роста объема, в том числе потому, что для преступников здесь не требуется специализированная квалификация. 

«Ведомости» направили запрос в Сбербанк, Альфа-банк и ВТБ.