Kaspersky Security Bulletin

Прогноз по финансовым киберугрозам и Crimeware на 2023 год

Главные события 2022 года и прогнозы на 2023-й

Ежегодно в рамках проекта Kaspersky Security Bulletin мы пытаемся предугадать, какие тенденции будут преобладать в поведении киберпреступников, атакующих финансовые организации. Эти прогнозы основаны на уникальном опыте наших экспертов и помогают компаниям и отдельным пользователям усилить безопасность своих устройств и существенно снизить риски.

За последние годы ландшафт финансовых угроз претерпел серьезные изменения: злоумышленники стали активно использовать программы-вымогатели и инструменты для криптовалютного мошенничества. Поэтому анализировать угрозы для традиционных финансовых организаций (например, банков) уже недостаточно — важно оценивать финансовые угрозы в целом. Масштабы киберпреступности продолжают стремительно расти, и большинство злоумышленников по-прежнему преследуют одну цель — обогатиться за чужой счет. Однако из года в год они изобретают новые способы достижения этой цели. Чтобы защитить компанию от атак, важно понимать, как меняются их тактики и инструментарий.

В этом году мы решили подготовить расширенный прогноз и проанализировали не только финансовые киберугрозы, но и ПО для автоматизации финансовых преступлений (Crimeware).

В отчете мы рассмотрим, насколько точным оказалось наше видение ландшафта финансовых угроз на 2022 год, и обсудим, что ждет нас в 2023 году.

Анализ прогнозов на 2022 год

  • Распространение и консолидация стилеров. Как показала наша телеметрия, в 2021 году произошел стремительный рост темпов распространения программ для кражи данных (стилеров). Количество предложений от разных разработчиков, низкая стоимость и высокая эффективность подобных зловредов позволяют предположить, что эта тенденция будет актуальна и в следующем году. Кроме того, с помощью таких программ можно создавать большие массивы информации для организации целевых и сложных атак.

    Да. Несмотря на то что бурного распространения стилеров так и не произошло, их эволюцию невозможно не заметить. В 2022 году на теневом рынке появились новые семейства вредоносного ПО — Rhadamanthys, BlueFox и Parrot, — которые крадут конфиденциальную информацию с устройства жертвы. Одним из самых интересных новых стилеров был OnionPoison. В отличие от обычных стилеров, этот зловред собирал данные, по которым можно установить личность жертвы, например историю посещенных страниц, идентификаторы учетных записей в социальных сетях и данные о Wi-Fi-подключениях. Преступники совершенствовали и прежние разработки. В этом году мы обнаружили свежие версии стилеров AcridRain и Racoon и наблюдали потрясающую эволюцию стилера RedLine, который теперь распространяется самостоятельно и атакует геймеров через YouTube. Еще одна интересная тенденция, которую мы наблюдали в 2022 году, — распространение вредоносных программ под видом известных приложений, например Notepad++. Этот метод остается популярным среди злоумышленников и сейчас, в результате чего страдает множество пользователей. Группа вымогателей ransomExx пошла еще дальше и стала добавлять вредоносный шелл-код в приложения с открытым исходным кодом, не оставив без внимания и упомянутый Notepad++.

    Несмотря на то что отдельные экземпляры продвинутого вредоносного ПО распространяются только по закрытым каналам, многие стилеры стали дешевле и теперь доступны среднестатистическому мошеннику, а значит, в следующем году число атак этого типа, скорее всего, возрастет.

  • Целевые атаки на криптовалютную отрасль. Криптовалютный бизнес продолжает развиваться. Люди охотно инвестируют в криптовалюту, поскольку это цифровой актив, все транзакции с которым происходят онлайн с сохранением конфиденциальности участников. Эти же аспекты делают его привлекательным для злоумышленников, причем не только для киберпреступников, но и для группировок с государственной поддержкой, которые уже начали проявлять интерес к этой отрасли. Так, APT-группа BlueNoroff после ограбления банка в Бангладеш начала агрессивно атаковать криптовалютный бизнес и, кажется, не собирается останавливаться.

    Частично сбылся. Криптомошенники уже украли более 2,5 млрд долларов США, а число владельцев криптовалюты продолжает расти и, по прогнозам, к концу этого года достигнет 1 млрд человек. Поэтому криптовалюта продолжит притягивать злоумышленников, как магнит. В 2022 году DeathStalker, группа наемных киберпреступников, использовала для целевых атак новую вредоносную кампанию, названную VileRAT. Одной из основных целей этой APT-группы были криптовалютные биржи. Кроме того, мы продолжали наблюдать за активностью группы BlueNoroff, которая атаковала криптовалютные стартапы, направляя им под видом важных бизнес-файлов полнофункциональные бэкдоры, которые следили за их системами.

    Хотя эти атаки так и не были обнаружены, для кражи криптовалют преступники чаще использовали такие методы, как фишинг, создание фейковых криптообменников и криптоджекинг. Если раньше майнинг угрожал преимущественно обычным пользователям, то сегодня злоумышленники нередко используют вычислительные мощности крупного бизнеса и критических инфраструктур. Даже крупные операторы шифровальщиков, например AstraLocker, сворачивают свою деятельность и переходят на криптоджекинг.

  • Новые угрозы, связанные с криптовалютой: поддельные аппаратные кошельки, атаки на смарт-контракты, взлом DeFi-проектов и другие. Пользуясь ажиотажем вокруг криптовалютных инвестиций, преступники могут начать производить и продавать мошеннические устройства с бэкдорами, а затем с помощью социальной инженерии и других методов похищать данные пользователей.

    Да. В 2022 году мы наблюдали много других атак, связанных с криптовалютой, в результате которых пользователи теряли миллионы долларов. С начала 2022 года киберпреступники украли 3 млрд долларов США, взломав DeFi-протоколы. Всего было зафиксировано 125 атак на криптовалютные сервисы. Согласно последним данным о проектах DeFi, преступники проводят 15 новых атак на смарт-контракты ежечасно. Такими темпами число атак в 2022 году побьет все рекорды. Для защиты смарт-контрактов нужны самые современные технологии, в отсутствие которых успешная атака на криптовалютные платформы может принести к потере огромных средств.

  • Целевые атаки с использованием программ-вымогателей станут более узконаправленными и локальными. Пока правоохранительные органы по всему миру совместными усилиями борются с крупными группировками вымогателей, в регионах в изобилии начнут появляться небольшие группы, атакующие своих же земляков. Повсеместное внедрение банковского обслуживания в открытом формате может привести к появлению новых возможностей для кибератак.

    Да. Количество узконаправленных и локальных атак выросло. Этому способствовало уменьшение масштабов сотрудничества между отдельными группами вымогателей. Если раньше злоумышленники объединялись, чтобы атаковать как можно больше компаний по всему миру, то сейчас, благодаря совместным международным инициативам, например No More Ransom, число глобальных угроз значительно сократилось.

    Стоит отметить, что на развитие этой тенденции повлияли и геополитические конфликты, которых в прошлом году мы никак не ожидали. В текущем конфликте многие вымогатели встали на сторону либо России, либо Украины и теперь проводят масштабные атаки или выбирают свои цели по их геолокационным данным. Самым ярким событием в этой связи стало заявление группы вымогателей Conti о том, что, если кто-то решит организовать кибератаку против России, они нанесут ответный удар по критически важной инфраструктуре «противника». В то же время «Лаборатория Касперского» обнаружила разработанный украинскими сторонниками вайпер Freeud, который распространяется под видом шифровальщика.

  • Брокеры доступа будут оказывать профессиональные услуги по предоставлению доступа к скомпрометированным сетям. Вместо того чтобы взламывать системы частных и государственных организаций, операторы RaaS-сервисов будут покупать данные для доступа у других преступных группировок, которые уже атаковали интересующую их цель ранее, и развертывать вымогательские кампании.

    Да. Преступники действительно стали реже взламывать интересующие их сервисы, и чаще — покупать первоначальный доступ к ним. В даркнете некоторые злоумышленники построили на этом целый бизнес по модели «вредоносное ПО как услуга». В этом году организации стали получать спам-рассылки, через которые операторы шифровальщика Conti распространяли зловред Emotet для получения первоначального доступа к инфраструктуре жертвы. За месяц количество атак увеличилось в десять раз. После получения доступа злоумышленники заносили организацию в список своих потенциальных целей. Такой стремительный рост масштабов кампании Emotet позволяет предположить, что киберпреступники по-прежнему активно пользуются услугами брокеров первоначального доступа и в 2023 году эта тенденция сохранится.

  • Расцвет мобильных банковских троянцев. Поскольку во время пандемии люди по всему миру начали активно использовать приложения для мобильного банкинга (так, в Бразилии в 2020 году на их долю пришелся 51% всех транзакций), мы ожидаем появления новых мобильных банковских троянцев — в частности, троянских программ удаленного доступа (RAT), способных обходить такие меры безопасности, как одноразовые пароли и многофакторная аутентификация. Региональные проекты по разработке имплантов для Android приобретут глобальный масштаб. Новыми жертвами киберпреступников станут жители стран Западной Европы.

    Да. Для тех, кто регулярно пользуется мобильными устройствами для покупок и оплаты счетов, безопасность остается самой большой проблемой. Наш прогноз сбылся: в 2022 году в мире было обнаружено гораздо больше мобильных банковских троянцев, чем годом ранее: только во втором квартале было зафиксировано 55 000 атак. Чтобы проводить как можно больше атак, киберпреступники создают банковских троянцев специально для мобильных устройств. В 2022 году эксперты «Лаборатории Касперского» обнаружили более 190 приложений, через которые на устройства пользователей попадал троянец Harly, — их скачали более 4,8 млн раз. Зловреды распространялись через официальные магазины приложений под видом легитимного ПО и после установки подписывали ничего не подозревающих пользователей на платные сервисы.

  • Новые угрозы для систем электронных платежей. В период пандемии многие компании перевели свои системы в онлайн. Люди, вынужденные сидеть дома из-за карантина или локдауна, стали все чаще делать покупки в интернет-магазинах и пользоваться системами электронных платежей. Однако этот стремительный переход не сопровождался надлежащими мерами безопасности, в результате чего онлайн-сервисы стали привлекательными мишенями для множества киберпреступников. Эта проблема особенно остро стоит в развивающихся странах, и решение для нее еще не найдено.

    Нет. В этом году так и не произошло стремительного развития финансовых технологий, которые могли бы стать целью киберпреступников.

  • С ростом числа финансовых приложений растет и объем ценных финансовых данных в них, привлекательных для киберпреступников. Использование систем электронных платежей и финансовых приложений приводит к тому, что на мобильных устройствах скапливается много важной персональной информации. Чтобы завладеть ею, киберпреступные группировки будут использовать новые изощренные стратегии, включающие технологию дипфейк и продвинутое вредоносное ПО.

    Нет. В 2022 году мало что изменилось в техниках использования мобильного вредоносного ПО.

  • Удаленные сотрудники, использующие рабочие компьютеры в развлекательных целях, например для онлайн-игр, останутся угрозой для финансовой безопасности организаций. Мы уже рассказывали, что люди нередко используют корпоративные ноутбуки для игр, просмотра фильмов и онлайн-обучения. Прийти к таким выводам было несложно: в 2020–2021 годах на рынке мобильных видеокарт Intel и AMD произошел настоящий бум продаж. Эта тенденция по-прежнему актуальна. В 2020 году 46% сотрудников еще не имели опыта удаленной работы, сегодня же две трети из них заявляют, что не хотят возвращаться в офис, а остальные утверждают, что посещают его реже.

    Да. После пандемии компаниям удалось повысить уровень кибербезопасности и организации удаленной работы, однако сотрудники продолжают использовать рабочие компьютеры для подключения к развлекательным ресурсам, через которые злоумышленники нередко получают первоначальный доступ к корпоративной сети. На сайтах для скачивания фильмов и сериалов пользователей могут поджидать самые разные зловреды, в том числе троянцы, шпионское ПО, бэкдоры и рекламные программы. По данным «Лаборатории Касперского», 35% пользователей, из числа столкнувшихся с какой-либо угрозой, использующей тематику стриминговых платформ, пострадали от атак троянских программ. Если такое ПО попадет на корпоративный компьютер, злоумышленники смогут проникнуть в сеть компании и украсть конфиденциальную информацию, например персональные данные сотрудников или сведения, составляющие коммерческую тайну.

  • Новая волна вредоносного ПО для банкоматов и платежных терминалов. В период пандемии в некоторых регионах существенно уменьшилось число транзакций в банкоматах и платежных терминалах. Локдаун вынудил людей оставаться дома и делать покупки через интернет, что, в свою очередь, сократило масштабы распространения вредоносного ПО для платежных устройств. Однако после снятия ограничений мы ожидаем активизации известных проектов по разработке зловредов такого типа, а также появления новых. Это неудивительно, ведь киберпреступники получат физический доступ к банкоматам и терминалам одновременно с обычными пользователями.

    Да. Как мы и предполагали, в 2022 году после снятия COVID-ограничений преступники активно взялись за дело. За первые восемь месяцев этого года число уникальных платежных устройств, атакованных вредоносными программами, выросло на 19% по сравнению аналогичным периодом 2020 года и почти на 4% по сравнению с 2021 годом. Эксперты «Лаборатории Касперского» также обнаружили абсолютно новые образцы вредоносного ПО, атакующего банкоматы и терминалы. Например, группировка Prilex, прославившаяся многомиллионными хищениями из банков, существенно пополнила свой арсенал. В частности, она заменила простые скраперы, сканирующие оперативную память, сложными вредоносными программами, которые атакуют модульные платежные терминалы, — это первые зловреды, способные клонировать транзакции по кредитным картам, даже защищенные чипом или PIN-кодом.

    А самым заметным изменением, пожалуй, стало то, что программы для взлома PoS-терминалов теперь продаются в даркнете как услуга: они будут доступны кому угодно, а с риском потерять деньги столкнутся компании по всему миру.

Прогнозы на 2023 год

Благодаря развитию индустрии игр и других развлечений концепция Web3 продолжает завоевывать популярность — равно как и связанные с ней угрозы

С ростом популярности криптовалют увеличивается и объем мошенничества в этой сфере. Однако пользователи становятся все более грамотными в вопросах криптовалюты, и мы думаем, что они уже не попадутся на примитивные мошеннические схемы вроде вирусных дипфейков, в которых Илон Маск призывает всех инвестировать в криптовалюту, обещая баснословное обогащение. Киберпреступники продолжат заманивать пользователей первичными размещениями монет (ICO) и невзаимозаменяемыми токенами (NFT), а также изобретать другие инструменты для атаки на владельцев криптовалют (например, эксплуатировать уязвимости смарт-контрактов), но их подходы станут более продвинутыми.

Загрузчики вредоносного ПО будут расходиться на черном рынке как горячие пирожки

Многие злоумышленники используют для атак собственные разработки, однако зачастую этого недостаточно. Вредоносное ПО часто включает только код шифровальщика, однако чем больше разных модулей входит в состав программы-вымогателя, тем сложнее будет обнаружить такую программу. Сейчас злоумышленники сосредоточили свое внимание на загрузчиках и дропперах, способных избегать детектирования. Эти программы стали самыми популярными товарами на рынке «вредоносное ПО как услуга», а у киберпреступников даже появились любимые инструменты, например загрузчик Matanbunchus. В 2023 году разработчики вредоносных загрузчиков сосредоточат свои усилия на создании программ, способных обходить EDR-защиту и проводить скрытые атаки.

Киберпреступники развернут больше новых сред тестирования на проникновение, которыми пользуются команды red team

По мере того как поставщики защитных решений создают и совершенствуют среды для проведения тестирования на проникновение, чтобы повысить безопасность компаний, злоумышленники используют эти же среды в своих преступных целях. Cobalt Strike — самый яркий пример глобального распространения этой тенденции. Это настолько мощный инструмент, что киберпреступники добавили его в свой арсенал и уже активно используют для проведения разных типов атак и кампаний кибершпионажа. В 2022 году новости пестрели информацией о взломе еще одного инструмента пентестеров — Brute Ratel C4, который сейчас распространяется через хакерские форумы. Мы считаем, что с появлением новых инструментов для тестирования на проникновение злоумышленники начнут активно использовать их в преступных целях. Brute Ratel C4 и Cobalt Strike — только начало этой истории.

Биткойн все реже будет становиться валютой выкупа

По мере появления новых санкций рынок становится все более регулируемым. Развиваются технологии, позволяющие отследить потоки и источники поступления этой криптовалюты, поэтому киберпреступники будут все чаще выбирать другие формы получения выкупа.

Группы вымогателей сосредоточатся на разрушительных атаках, отодвинув свои финансовые интересы на второй план

Возможно, это самый неожиданный прогноз по финансовым угрозам, ведь в течение последних лет самую большую опасность для организаций представляли атаки шифровальщиков, приводившие к серьезному финансовому ущербу. Но поскольку геополитика сейчас занимает умы не только общества, но и киберпреступников, мы ожидаем, что группы вымогателей будут требовать не денег, а совершения политических действий. Одним из шифровальщиков, используемых для этих целей, стал новый вайпер Freeud.

Прогноз по финансовым киберугрозам и Crimeware на 2023 год

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

Таргетированная атака на промышленные предприятия и государственные учреждения

Эксперты Kaspersky ICS CERT выявили волну атак на предприятия и государственные учреждения нескольких стран Восточной Европы и Афганистана. В ходе исследования выявлено вредоносное ПО, ранее использованное в атаках, которые другие исследователи отнесли к APT TA428.

ToddyCat: неизвестная APT-группа, нацеленная на организации Европы и Азии

ToddyCat является относительно новой APT-группой, ответственной за серии атак на высокостатусные организации Европы и Азии. Два ключевых отличительных признака этой группы — ранее неизвестные инструменты, которые мы назвали «бэкдор Samurai» и «троянец Ninja».

Lazarus распространяет протрояненный DeFi-кошелек

Недавно мы обнаружили протрояненное DeFi-приложение, которое имплантирует в систему полнофункциональный бэкдор. Проанализировав этот бэкдора, мы обнаружили многочисленные совпадения с другими инструментами группы Lazarus.

MoonBounce: скрытая угроза в UEFI

В конце 2021 года мы обнаружили прошивку UEFI, в которую был внедрен вредоносный код, названный нами MoonBounce. В данном отчете мы подробно опишем принцип действия импланта MoonBounce и его связь с APT41.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике