首先让我们回顾一下2020年的关键事件,然后在对2021年金融组织面对的网络威胁做出预测。
2020年的关键事件
针对Libra 和TON/Gram的攻击:Libra是Facebook新推出的虚拟加密货币,不过Facebook本身就有数据泄漏的问题,推出数字货币就可能激发黑客想要彰显技术的心理。 Gram是Telegram基于TON区块链系统的发行通用代币,一方面,区块链攻击与互联网攻击是技术同源的,另一方面,区块链攻击的场景更加多元化,给黑客带来了很多攻击的想象。
倒卖银行访问权限:黑市上有很多银行访问权限的倒卖活动,有的价格还很优惠,卖家号称可以提供对全球各家银行的远程访问。通常,攻击者利用一个或多个漏洞,然后将其转售给具有财务动机的黑客,包括有针对性的勒索软件运营商。
针对银行的勒索软件攻击:各种针对性的勒索软件组织已经攻击了全世界的银行,例如哥斯达黎加、智利和塞舌尔。这三个案件已被媒体报道,Maze组织对哥斯达黎加的袭击事件负责,REvil (Sodinokibi)是智利袭击事件的幕后主使。支付赎金的受害者不会出现在勒索软件组织的列表中,没有人能确定还有多少银行遭到了有针对性的勒索软件攻击。
自定义木马程序越来越多:一些网络犯罪分子将投资新的特洛伊木马程序和漏洞利用程序,作为其自定义工具操作的一部分。对于商业VPN提供商及其在客户基础架构上运行的设备的各种漏洞和利用,这种情况变得尤为可悲。另一方面,我们也看到黑客开发了用于网络侦察和数据收集的微型工具。
移动银行木马的全球性泛滥:这个趋势是攻击发展的必然趋势, Ginp,Ghimob,Anubis和Basbanke只是这一趋势几个有代表性的例子。顺便说一句,Anubis源代码已被泄漏并在互联网上发布。所以,这是攻击移动银行系统的全球扩张的另一个原因。
针对投资应用程序: Ghimob就是一个很好的例子,Ghimob是卡巴斯基实验室于今年7月发现的一种新的Android银行木马,能够从112个金融应用程序中窃取数据。Ghimob旨在针对巴西、巴拉圭、秘鲁、葡萄牙、德国、安哥拉和莫桑比克等国家和地区的银行、金融科技公司、交易所和加密货币的金融应用程序。如果我们将加密货币兑换应用程序视为投资应用程序,那么答案也是肯定的。但是,这些攻击的规模尚目前还不是很大。
Magecart攻击: Magecart的大规模扩张令人印象深刻,你到处都可以找到它。Magecart为一专门锁定电子商务网站的恶意软件,它会在网站上注入Skimmer恶意程序代码以窃取用户的付款信息,受到许多黑客集团的青睐,包括Keeper在内。从2017年4月迄今,Keeper已经成功渗透了全球55个国家的570个电子商务网站,而在2018年7月至2019年4月间,就盗走了18.4万张银行卡信息,估计非法取得的银行卡信息可能多达70万张。如今,它也成为盗取支付卡的各种团体的首要选择。例如, Lazarus攻击者就通过使用Magecart代码在其功能表中添加了数字支付卡读取功能。
政治不稳定导致网络犯罪蔓延: 在新冠疫情期间,很多攻击者不是借助新冠疫情的话题进行网络钓鱼攻击,就是寻找医疗机构的漏洞对其发起攻击。但是,全球扩展是通过互联网进行的,利用了配置不佳和公开的系统,例如,在易受攻击或配置错误的RDP协议上运行等。
2020年的重大事件
与新冠疫情危机相关的各种金融网络攻击
由于疫情的影响,很过公司都仓促部署了远程工作解决方案,这样一来安全性就降低了。实际上,有些人甚至没有足够的笔记本电脑来提供给员工。这样员工就必须购买在零售市场上发现的任何东西,即使这些设备不符合组织的安全标准。至少,这使企业得以运转。但是,那些配置不当的计算机必须连接到远程系统,而这是公司没有考虑到的安全问题。缺乏员工培训,笔记本电脑的默认配置没有改变,加上容易受到攻击的远程访问连接,使得包括有针对性的勒索软件在内的各种攻击成为可能。
一旦建立了对组织的远程访问,恶意工具的使用就会增加,例如,从内存中转储密码,侦察受害者的网络,以及在网络内部进行横向移动。
巴西境内的攻击者扩展到世界其他地区
巴西的网络犯罪生态系统曾经非常成熟,今年,我们看到其中一些恶意组织开始将自己的攻击业务扩展到其他地区,目标是欧洲和其他地方的受害者。排名前四的恶意软件家族分别是Guildma,Javali,Melcoz,Grandoreiro。随后Amavaldo,Lampion和Bizarro也加入到了这个队伍中。说到移动银行木马的恶意软件,Ghimob现在的目标是拉丁美洲和非洲,而Basbanke则活跃在葡萄牙和西班牙。
PoS和ATM恶意软件
针对ATM自动取款机的恶意代码家族Trojan/Win32.Prilex,其最初在2017年10月被披漏用于针对拉丁美洲葡萄牙语系ATM的攻击活动。通过对Prilex分析发现,恶意代码使用Visual Basic 6.0(VB6)编写,代码中夹杂着“Ol?Jos?Boa tarde”等葡萄牙语,攻击者伪造并替换ATM应用程序屏幕,等待受害者输入密码,获取受害者密码信息后,将密码等数据回传到攻击者的远端服务器。
Prilex家族会影响特定品牌的自动取款机,这意味着攻击者在实施恶意攻击之前,需要对目标进行系列的渗透活动。因此,Prilex家族是攻击者在熟识目标之后,针对目标编写设计的、具有针对性的恶意代码。
臭名昭著的Prilex将自己定位为MaaS市场,并最近实施了重播攻击。它还正在将目标对准PIN键盘通信。通常,Prilex将自己定位为一个黑客团体,在ATM恶意软件、PoS恶意软件,DDoS服务、用于克隆支付卡的EMV软件等方面具有多种技能。
一些ATM恶意软件家族已经经过多次迭代,现在已经包括RAT功能。其中一种是使用dnscat2屏蔽C2通信,绕过传统的网络检测机制。
CESSO已经成为MaaS的一种类型,现在的目标是Diebold、Wincor和NCR的自动取款机。它的目的是窃取美元、欧元、当地拉丁美洲货币和其他货币。代码表明开发人员的母语是葡萄牙语。
定向勒索是一种新常态,也是金融机构面临的主要威胁
由于网络信息渠道和媒体的传播速度的提高,很多企业的网络安全事件和信息泄漏会在几分钟之内传遍整个世界。因此很多勒索组织就威胁企业,如果不及时支付赎金就将信息泄漏出去。这一攻击趋势很重要,因为它不再与数据加密有关,而是与泄漏从受害者网络中泄漏的机密信息有关。由于支付卡行业的安全性和其他规定,这样的泄漏可能会导致重大的财务损失。
关于勒索软件的另一个关键点是,今年已经看到它利用人为因素作为初始感染媒介。关于试图感染特斯拉的案例就是一个很好的例子。当涉及到非常引人注目的目标时,攻击者就会毫不犹豫地花费时间和资源在MICE框架(金钱,意识形态,妥协和自我)中工作,以进入受害者的网络。
不幸的是,勒索软件的故事还没有结束。 Lazarus组织已与VHD勒索软件家族一起尝试了这一大型游戏。这引领了新一轮攻击趋势,其他APT攻击者也紧随其后,其中包括MuddyWater。MuddyWater 活动是 在2017年底被观察到的。
2021年的预测
在继续进行2021年的预测之前,要先声明一下,即我们在2020年所看到的大多数威胁将在明年持续存在。例如,目标勒索软件将保持相关性。以下是我们预计在来年会出现的新的攻击趋势:
新冠疫情大流行很可能会造成大规模的贫困浪潮,并且不可避免地转化为更多的人诉诸包括网络犯罪在内的犯罪。我们可能会看到某些经济崩溃和当地货币快速贬值,这将使比特币盗窃更具吸引力。由于这种加密货币是最受欢迎的加密货币,我们应该预期会有更多的欺诈行为,主要针对比特币。
MageCart攻击转移到服务器端,我们可以看到,依靠客户端攻击(JavaScript)的攻击者的数量每天都在减少。我们有理由相信,攻击将会出现向服务器端的转移。
网络犯罪生态系统内部运营的重新整合和内部化:网络犯罪市场上的主要参与者和获利丰厚的企业将主要依靠自己的内部开发,从而减少外包以提高利润。
来自遭受经济制裁的国家的高级攻击者可能更多地依赖于仿效网络犯罪分子的勒索软件,他们可以重用已经可用的代码,也可以从头开始创建自己的攻击程序。
本文翻译自:https://securelist.com/cyberthreats-to-financial-organizations-in-2021/99591/如若转载,请注明原文地址