Эксперты оценили экономику хакерских атак на банки, подсчитав себестоимость работы взломщиков. По данным исследования Positive Technologies, расходы в этом бизнесе окупаются после первого же хищения. Но снижающиеся суммы вывода средств на одну атаку при вложениях в десятки тысяч долларов уже заставляют злоумышленников оптимизировать расходы.

Стартовая стоимость целевой атаки на организации финансовой отрасли составляет около $45–55 тыс., оценивают эксперты Positive Technologies. Около $2,5 тыс. может составить месячная подписка на сервис по созданию документов с вредоносом, инструменты по созданию вредоносных файлов — от $300, исходный код программы-загрузчика вредоноса — от $1,5 тыс., программа по эксплуатации уязвимостей для внедрения — порядка $10 тыс., легальные инструменты, которые могут использовать хакеры, эксперты оценили в $30–40 тыс. (версии программы CobaltStrike использовались группировкой Cobalt).

По оценке директора экспертного центра Positive Technologies Алексея Новикова, вложения киберпреступников окупаются уже после первой же успешной атаки. Однако в последний год доходы атакующих банки хакеров снизились — средняя сумма хищения упала, тогда как расходы на инструментарий остались на прежнем уровне.

Для оптимизации расходов злоумышленникам приходится искать пути повышения результативности атак. В частности, подавляющее большинство атак на банки идет с помощью фишинговых рассылок. С точки зрения расходов они хороши тем, что количество адресатов в рассылке практически не влияет на ее стоимость. «Грубо говоря, был подготовлен шаблон одного письма, а дальше очень легкая автоматизация для рассылки,— отметил господин Новиков.— То есть разница в отправке одного письма или тысячи только во времени работы сервера».

Главные затраты — это цена самого инструментария и его «упаковки» как для проникновения в кредитную организацию, так и для «продвижения» от компьютера, взломанного первым, далее по внутрибанковской сети. Операционные расходы на рассылку вредоносов незначительны, по оценкам эксперта, они составляют порядка $1 тыс. в месяц. В частности, в компании подсчитали, что примерная стоимость атаки группировки Silence— порядка $55 тыс. Последняя атака, приписываемая группировке — на ИТ-банк в феврале 2019 года, принесла злоумышленникам порядка $380 тыс. (см. “Ъ” от 12 февраля). Другой набор для атаки автоматически меняет стоимость — на взлом ПИР-банка хакерам пришлось потратить порядка $66 тыс., в то время как добыча составила $930 тыс. (см. “Ъ” от 6 июля 2018 года).

Использование не покупных вредоносов, а актуальных уязвимостей позволяет существенно снизить расходы.

Например, в прошлом году эксперты выявили уязвимость в системе Microsoft и предупредили о ней неограниченный круг лиц. Уже через семь часов пошла рассылка — хакеры адаптировали уязвимость для атаки и сэкономили около $10 тыс., рассказывает Алексей Новиков.

Атака из доверенной сети также позволяет повысить ее рентабельность. Подобный подход хакеры использовали в прошлом году при атаке на банк «Юнистрим», с сервера которого рассылались фишинговые письма банкам-партнерам (см. “Ъ” от 21 декабря 2018 года). Одним вредоносом был атакован как сам банк, так и его партнеры.

Об сокращении затрат хакерами говорят и другие эксперты. Так, операционный директор центра мониторинга и реагирования на кибератаки Solar JSOC Антон Юдаков отметил, что киберпреступность сегодня — это в первую очередь бизнес, который сейчас активно оптимизирует расходы. «Существуют целые группы, специализирующиеся на предоставлении конкретных услуг — DDoS-атак, кардинга, написания вредоносного ПО, обналичивания денег, выведенных из банков, и так далее,— отметил он.— Привлечение таких «аутсорсеров» обходится значительно дешевле, чем если бы заказчик атаки создавал собственную группировку с аналогичными функциями». Например, согласно исследованию Positive Technologies, расходы на обнал составляют от 15% до 50% от похищенной суммы. И нижнюю границу цены может дать именно «аутсорсер».

«Кроме того, такая схема обеспечивает большую безопасность и оперативность,— отметил господин Юдаков.— Хакеры также стараются атаковать банки не напрямую, а через более уязвимых контрагентов». Примером тому служат проблемы владельцев карты «Кукуруза» (см. “Ъ” от 15 мая), когда злоумышленники получили доступ к логинам и паролям за счет взлома связанного сервера.