首先讓我們回顧一下2020年的關鍵事件,然後在對2021年金融組織面對的網絡威脅做出預測。
2020年的關鍵事件
針對Libra 和TON/Gram的攻擊:Libra是Facebook新推出的虛擬加密貨幣,不過Facebook本身就有數據洩漏的問題,推出數字貨幣就可能激發黑客想要彰顯技術的心理。Gram是Telegram基於TON區塊鏈系統的發行通用代幣,一方面,區塊鏈攻擊與網際網路攻擊是技術同源的,另一方面,區塊鏈攻擊的場景更加多元化,給黑客帶來了很多攻擊的想像。
倒賣銀行訪問權限:黑市上有很多銀行訪問權限的倒賣活動,有的價格還很優惠,賣家號稱可以提供對全球各家銀行的遠程訪問。通常,攻擊者利用一個或多個漏洞,然後將其轉售給具有財務動機的黑客,包括有針對性的勒索軟體運營商。
針對銀行的勒索軟體攻擊:各種針對性的勒索軟體組織已經攻擊了全世界的銀行,例如哥斯大黎加、智利和塞席爾。這三個案件已被媒體報導,Maze組織對哥斯大黎加的襲擊事件負責,REvil (Sodinokibi)是智利襲擊事件的幕後主使。支付贖金的受害者不會出現在勒索軟體組織的列表中,沒有人能確定還有多少銀行遭到了有針對性的勒索軟體攻擊。
自定義木馬程序越來越多:一些網絡犯罪分子將投資新的特洛伊木馬程序和漏洞利用程序,作為其自定義工具操作的一部分。對於商業VPN提供商及其在客戶基礎架構上運行的設備的各種漏洞和利用,這種情況變得尤為可悲。另一方面,我們也看到黑客開發了用於網絡偵察和數據收集的微型工具。
移動銀行木馬的全球性泛濫:這個趨勢是攻擊發展的必然趨勢, Ginp,Ghimob,Anubis和Basbanke只是這一趨勢幾個有代表性的例子。順便說一句,Anubis原始碼已被洩漏並在網際網路上發布。所以,這是攻擊移動銀行系統的全球擴張的另一個原因。
針對投資應用程式:Ghimob就是一個很好的例子,Ghimob是卡巴斯基實驗室於今年7月發現的一種新的Android銀行木馬,能夠從112個金融應用程式中竊取數據。Ghimob旨在針對巴西、巴拉圭、秘魯、葡萄牙、德國、安哥拉和莫三比克等國家和地區的銀行、金融科技公司、交易所和加密貨幣的金融應用程式。如果我們將加密貨幣兌換應用程式視為投資應用程式,那麼答案也是肯定的。但是,這些攻擊的規模尚目前還不是很大。
Magecart攻擊:Magecart的大規模擴張令人印象深刻,你到處都可以找到它。Magecart為一專門鎖定電子商務網站的惡意軟體,它會在網站上注入Skimmer惡意程序代碼以竊取用戶的付款信息,受到許多黑客集團的青睞,包括Keeper在內。從2017年4月迄今,Keeper已經成功滲透了全球55個國家的570個電子商務網站,而在2018年7月至2019年4月間,就盜走了18.4萬張銀行卡信息,估計非法取得的銀行卡信息可能多達70萬張。如今,它也成為盜取支付卡的各種團體的首要選擇。例如, Lazarus攻擊者就通過使用Magecart代碼在其功能表中添加了數字支付卡讀取功能。
政治不穩定導致網絡犯罪蔓延:在新冠疫情期間,很多攻擊者不是藉助新冠疫情的話題進行網絡釣魚攻擊,就是尋找醫療機構的漏洞對其發起攻擊。但是,全球擴展是通過網際網路進行的,利用了配置不佳和公開的系統,例如,在易受攻擊或配置錯誤的RDP協議上運行等。
2020年的重大事件
與新冠疫情危機相關的各種金融網絡攻擊
由於疫情的影響,很過公司都倉促部署了遠程工作解決方案,這樣一來安全性就降低了。實際上,有些人甚至沒有足夠的筆記本電腦來提供給員工。這樣員工就必須購買在零售市場上發現的任何東西,即使這些設備不符合組織的安全標準。至少,這使企業得以運轉。但是,那些配置不當的計算機必須連接到遠程系統,而這是公司沒有考慮到的安全問題。缺乏員工培訓,筆記本電腦的默認配置沒有改變,加上容易受到攻擊的遠程訪問連接,使得包括有針對性的勒索軟體在內的各種攻擊成為可能。
一旦建立了對組織的遠程訪問,惡意工具的使用就會增加,例如,從內存中轉儲密碼,偵察受害者的網絡,以及在網絡內部進行橫向移動。
巴西境內的攻擊者擴展到世界其他地區
巴西的網絡犯罪生態系統曾經非常成熟,今年,我們看到其中一些惡意組織開始將自己的攻擊業務擴展到其他地區,目標是歐洲和其他地方的受害者。排名前四的惡意軟體家族分別是Guildma,Javali,Melcoz,Grandoreiro。隨後Amavaldo,Lampion和Bizarro也加入到了這個隊伍中。說到移動銀行木馬的惡意軟體,Ghimob現在的目標是拉丁美洲和非洲,而Basbanke則活躍在葡萄牙和西班牙。
PoS和ATM惡意軟體
針對ATM自動取款機的惡意代碼家族Trojan/Win32.Prilex,其最初在2017年10月被披漏用於針對拉丁美洲葡萄牙語系ATM的攻擊活動。通過對Prilex分析發現,惡意代碼使用Visual Basic 6.0(VB6)編寫,代碼中夾雜著「Ol?Jos?Boa tarde」等葡萄牙語,攻擊者偽造並替換ATM應用程式屏幕,等待受害者輸入密碼,獲取受害者密碼信息後,將密碼等數據回傳到攻擊者的遠端伺服器。
Prilex家族會影響特定品牌的自動取款機,這意味著攻擊者在實施惡意攻擊之前,需要對目標進行系列的滲透活動。因此,Prilex家族是攻擊者在熟識目標之後,針對目標編寫設計的、具有針對性的惡意代碼。
臭名昭著的Prilex將自己定位為MaaS市場,並最近實施了重播攻擊。它還正在將目標對準PIN鍵盤通信。通常,Prilex將自己定位為一個黑客團體,在ATM惡意軟體、PoS惡意軟體,DDoS服務、用於克隆支付卡的EMV軟體等方面具有多種技能。
一些ATM惡意軟體家族已經經過多次迭代,現在已經包括RAT功能。其中一種是使用dnscat2屏蔽C2通信,繞過傳統的網絡檢測機制。
CESSO已經成為MaaS的一種類型,現在的目標是Diebold、Wincor和NCR的自動取款機。它的目的是竊取美元、歐元、當地拉丁美洲貨幣和其他貨幣。代碼表明開發人員的母語是葡萄牙語。
定向勒索是一種新常態,也是金融機構面臨的主要威脅
由於網絡信息渠道和媒體的傳播速度的提高,很多企業的網絡安全事件和信息洩漏會在幾分鐘之內傳遍整個世界。因此很多勒索組織就威脅企業,如果不及時支付贖金就將信息洩漏出去。這一攻擊趨勢很重要,因為它不再與數據加密有關,而是與洩漏從受害者網絡中洩漏的機密信息有關。由於支付卡行業的安全性和其他規定,這樣的洩漏可能會導致重大的財務損失。
關于勒索軟體的另一個關鍵點是,今年已經看到它利用人為因素作為初始感染媒介。關於試圖感染特斯拉的案例就是一個很好的例子。當涉及到非常引人注目的目標時,攻擊者就會毫不猶豫地花費時間和資源在MICE框架(金錢,意識形態,妥協和自我)中工作,以進入受害者的網絡。
不幸的是,勒索軟體的故事還沒有結束。Lazarus組織已與VHD勒索軟體家族一起嘗試了這一大型遊戲。這引領了新一輪攻擊趨勢,其他APT攻擊者也緊隨其後,其中包括MuddyWater。MuddyWater 活動是 在2017年底被觀察到的。
2021年的預測
在繼續進行2021年的預測之前,要先聲明一下,即我們在2020年所看到的大多數威脅將在明年持續存在。例如,目標勒索軟體將保持相關性。以下是我們預計在來年會出現的新的攻擊趨勢:
新冠疫情大流行很可能會造成大規模的貧困浪潮,並且不可避免地轉化為更多的人訴諸包括網絡犯罪在內的犯罪。我們可能會看到某些經濟崩潰和當地貨幣快速貶值,這將使比特幣盜竊更具吸引力。由於這種加密貨幣是最受歡迎的加密貨幣,我們應該預期會有更多的欺詐行為,主要針對比特幣。
MageCart攻擊轉移到伺服器端,我們可以看到,依靠客戶端攻擊(JavaScript)的攻擊者的數量每天都在減少。我們有理由相信,攻擊將會出現向伺服器端的轉移。
網絡犯罪生態系統內部運營的重新整合和內部化:網絡犯罪市場上的主要參與者和獲利豐厚的企業將主要依靠自己的內部開發,從而減少外包以提高利潤。
來自遭受經濟制裁的國家的高級攻擊者可能更多地依賴於仿效網絡犯罪分子的勒索軟體,他們可以重用已經可用的代碼,也可以從頭開始創建自己的攻擊程序。
參考及來源:https://securelist.com/cyberthreats-to-financial-organizations-in-2021/99591/