Представляя основные результаты обзора, его авторы сообщают, что в 2020 г. через Авто-матизированную систему обработки инцидентов (АСОИ ФинЦЕРТ) от участников информационного обмена в процессе информирования о попытках компьютерных атак было получено 968 сообщений о фактах распространения вредоносного программного обеспечения (ВПО), содержавших 1300 образцов ВПО.
Годом ранее было зафиксировано 1723 обращения, содержавших 1581 образец ВПО. Большинство этих случаев — распространение различного ВПО с использованием электронной почты.
Сравнение структуры исследованного объема ВПО с данными 2019 г. позволяет экспертам Банка России выделить несколько тенденций. Так, если в 2019 г. программы-шифровальщики оставались на первом месте (50%), а второе место занимало шпионское ПО (21%), то в 2020 г. на первое место вышло шпионское ПО, доля которого выросла более чем в 2,5 раза, что позволило ему оказаться на первом месте по числу исследованных образцов (58%), тогда как второе место досталось финансовому ВПО (примерно 13%). ВПО для банкоматов выявлялось в единичных случаях.
По признаку количества адресатов одной атаки заметно возрастание атак немассовых. В 2020 г. только 15,6% атак были массовыми, в то время как в 2019 г. их доля составляла 69%. Авторы обзора заключают, что инициаторы атак перестраиваются в связи с постоянно возрастающим противодействием: в условиях развития корпоративных и отраслевых центров реагирования массовые атаки выявляются и пресекаются гораздо быстрее, часто становясь бесполезными.
По наиболее опасным компьютерным атакам ФинЦЕРТ в 2019 — 2020 гг. продолжил практику выпуска оперативных бюллетеней, представляемых как в формате документа Adobe PDF, так и в машиночитаемых форматах. Каждый бюллетень содержит описание атаки, ее основные индикаторы компрометации и в отдельных случаях — рекомендации по предупреждению, пресечению и устранению последствий. Всего в 2019 г. участникам информационного обмена было направлено 147 оперативных бюллетеней, в 2020 г. — 121. Большинство бюллетеней в 2020 г. было посвящено атакам группы RTM.
Наибольшее количество ресурсов в сети Интернет — серверов для рассылки электронных писем, серверов для распространения ВПО, управляющих серверов ВПО — размещалось, как и в предыдущие годы, вне территории Российской Федерации — преимущественно в странах, где традиционно находится большинство вебсерверов.
Один из главных выводов обзора Банка России — это практически отсутствие успеха в 2020 г. атак киберпреступников на отечественные банки. Аналитики регулятора считают, что этого удалось добиться за счет развития систем управления информационной безопасностью банков и повышения профессионального уровня их сотрудников. Пресечению атак на ранней стадии способствовал также информационный обмен ФинЦЕРТ, который позволяет оперативно доводить нужную информацию о выявляемых угрозах до всех финансовых организаций. Причиной снижения хакерской активности против российских банков являются и эффективные действия правоохранительных органов Российской Федерации и других стран, которые успешно противостоят злоумышленникам.
В то же время авторы обзора констатируют переключение внимания мошенников на клиентов кредитных организаций, прежде всего на граждан. Основные каналы атак — это телефон и Интернет.
В 2020 г. Банк России выявил и отправил на блокировку 26,4 тыс. телефонных номеров, с которых мошенники обзванивали клиентов банков. Это почти в два раза (на 86%) больше, чем годом ранее.
Также в прошлом году Банк России инициировал блокировку около 7,7 тыс. мошеннических сайтов. Регулятор отмечает почти двукратный рост выявленных поддельных сайтов банков: в 2020 г. обнаружено и отправлено на блокировку 1034 таких интернет-ресурсов, а годом ранее — 561. В начальный период пандемии — с марта по май — Банк России инициировал блокировку 2200 мошеннических сайтов, которые касались темы COVID-19.
Рост телефонного мошенничества и увеличение числа мошеннических сайтов определенных видов связаны, по мнению авторов обзора, прежде всего с пандемией и переходом экономической деятельности в онлайн. Пик активности злоумышленников как по количеству несанкционированных операций, так и по объему средств пришелся на конец марта — начало апреля, то есть на время максимально строгого локдауна.