Киберугрозы для финансовых организаций в 2021 году

Трудно поверить, что прошел уже год с момента публикации нашей последней статьи об атаках на финансовые организации и прогнозах на 2020 год. Этот год выдался сложным, но обо всем по порядку. Давайте проверим, насколько точными оказались прогнозы, которые мы сделали в конце 2019 года. Затем пройдемся по основным событиям 2020 года, связанным с атаками на финансовые организации, и наконец, сделаем прогнозы на 2021 год. Итак, начнем.

Анализ прогнозов на 2020 год

• Атаки на Libra и TON/Gram: тут нельзя дать однозначного ответа, ситуация сложная. Криптовалюта Libra пока так и не вышла на рынок, поэтому прогнозы относительно нее нельзя ни подтвердить, ни опровергнуть. Кибератаки в этом направлении пока невозможны. Проект Gram недавно отменили.
• Перепродажа доступа к банковским системам. В этом случае, к сожалению, прогноз оправдался. Существует целый рынок предложений по удаленному доступу к различным банковским системам по всему миру. Как правило, злоумышленники получают доступ через уязвимости, а затем перепродают его злоумышленникам, преследующим свои финансовые интересы, например операторам программ-вымогателей.
• Атаки программ-вымогателей на банковские сети. Прогноз подтвердился, и это еще один печальный факт сегодняшней реальности. Различные группы вымогателей проводили целевые атаки на банки по всему миру, например в Коста-Рике, Чили и на Сейшельских островах. Эти три случая широко освещались СМИ. За атаки в Коста-Рике несет ответственность группа Maze, а за атаками в Чили стояла группа REvil (Sodinokibi). При этом жертва нападения, заплатившая выкуп, не появляется в списке организаций, подвергшихся атаке. Нельзя наверняка узнать, сколько банков на самом деле подверглись атакам программ-вымогателей.
• Специально разработанное вредоносное ПО: возвращение к истокам. Как мы и предсказывали в прошлом году, некоторые группы стали разрабатывать собственные инструменты и вкладывать ресурсы в создание новых троянцев и эксплойтов. Особенно широко стали использоваться инструменты для атак на коммерческих VPN-провайдеров и устройства, работающие в инфраструктуре их клиентов. Кроме того, злоумышленники создавали микропрограммы для сканирования сетей и сбора данных.
• Повсеместное заражение интернет-банков троянцами. Без сомнения, этот прогноз сбылся. Ginp, Ghimob, Anubis и Basbanke — вот лишь несколько примеров, подтверждающих эту тенденцию. Кстати, исходный код Anubis подвергся утечке и был опубликован в интернете. И это — еще одно основание для глобального распространения атак на мобильный банкинг.
• Инвестиционные приложения — новая мишень для киберпреступников. Отчасти прогноз подтвердился. Хороший пример — семейство Ghimob. Если считать приложения криптовалютных бирж инвестиционными, то их тоже можно отнести к этому пункту. Однако размах таких атак еще не очень широк.
• Атаки Magecart 3.0. И тут мы оказались правы. Распространение Magecart впечатляет: их следы можно найти повсюду. Сегодня Magecart объединяет различные группы, похищающие данные платежных карт. Например, считается, что группа Lazarus добавила в свой арсенал цифровой скимминг платежных карт с использованием кода Magecart.
• Нестабильность политической обстановки в определенных регионах приведет к распространению киберпреступности. Отчасти прогноз не сбылся. Ситуация с COVID-19 и повсеместным карантином не дает людям свободно перемещаться между странами. Это основная причина того, что наши предположения не оправдались полностью. Тем не менее в сложившейся ситуации многие системы не были должным образом сконфигурированы и защищены, что привело к повсеместным интернет-атакам. К таким недоработкам можно отнести использование уязвимых или неправильно настроенных протоколов удаленных рабочих столов (RDP).

Ключевые события 2020 года

• Разные кибератаки на финансовые организации, связанные с влиянием пандемии COVID-19.

  Многие компании были вынуждены в кратчайшие сроки внедрить инструменты для удаленной работы — и в результате стали уязвимы перед киберугрозами. Некоторые организации даже не смогли обеспечить всех своих сотрудников ноутбуками. Такие компании приобретали устройства, которые удавалось найти в розничных магазинах, даже если они не соответствовали внутренним стандартам безопасности. Стоить отметить, однако, что это решение все-таки помогло организациям спасти свой бизнес. При этом машины не были должным образом настроены и должны были подключаться к уязвимым системам удаленного доступа. В результате недостаточный уровень подготовки сотрудников, стандартные конфигурации ноутбуков и уязвимый удаленный доступ открыли двери всевозможным атакам, в том числе использованию целевых программ-вымогателей.

  После внедрения инструментов для удаленного доступа организации стали чаще проводить тесты с участием red team. Это были, например, попытки выгрузить пароли из памяти, провести сканирование сети жертвы и обеспечить дальнейшее распространение вредоносного ПО в сети.

• Злоумышленники из Бразилии выходят на международный уровень.

  Раньше бразильская киберпреступность была сосредоточена в своем регионе. Однако в этом году мы наблюдали, как некоторые семейства зловредов стали использоваться для проведения атак в Европе и других регионах. Первые четыре семейства из этого ряда (Guildma, Javali, Melcoz, Grandoreiro) мы назвали Tétrade. За ними последовали Amavaldo, Lampion и Bizarro. В стороне не остались группировки, использующие мобильные банковские троянцы: Ghimob нацелилась на Латинскую Америку и Африку, а Basbanke — на Португалию и Испанию.

• Вредоносное ПО для атак на POS-терминалы и банкоматы

  Небезызвестная группа Prilex, распространяющая вредоносное ПО по модели MaaS, недавно провела атаку повторного воспроизведения. Она также начала перехватывать данные, которыми обмениваются платежные терминалы. Группа Prilex позиционирует себя как хакеров с различными специализациями: вредоносное ПО для банкоматов и POS-терминалов, услуги по организации DDoS-атак, программное обеспечение для клонирования платежных карт EMV.

  Некоторые семейства вредоносного ПО для банкоматов эволюционировали и обзавелись функциями удаленного управления (RAT). Один такой зловред использует инструмент dnscat2 для маскировки взаимодействия с командным сервером и обхода стандартных механизмов сетевого обнаружения.

  Вредоносное ПО CESSO стало предоставляться как услуга и теперь используется в атаках на банкоматы Diebold, Wincor и NCR. Этот зловред создан для кражи денежных средств в евро, долларах США, валютах латиноамериканских стран и других валютах. Судя по коду, разработчики говорят на португальском языке.

• Целевые программы-вымогатели— новая норма и разновидность угроз для финансовых организаций.

  Атаки с использованием целевых программ-вымогателей часто приводят к успеху и широко освещаются в СМИ. Из-за этого вымогатели регулярно повышают суммы выкупов за неразглашение украденных данных. Это важный момент, так как злоумышленники теперь не прибегают к шифрованию данных. Чаще они угрожают опубликовать конфиденциальные данные, украденные из сетей своих жертв. Из-за нарушения PCI и других законодательных норм такие утечки могут привести к крупным денежным потерям.

  Стоит отметить, что в этом году вымогатели полагались на человеческий фактор в организации начального заражения. Хорошим примером является атака на Tesla. Когда речь заходит о крупных целях, злоумышленники не жалеют времени и ресурсов на работу со схемой MICE (Money, Ideology, Compromise, Ego — деньги, идеология, компрометация, эго) для проникновения в сети жертвы.

  К сожалению, на этом история с вымогательством не заканчивается. Группа Lazarus тоже попробовала вступить в большую игру, используя шифровальщик VHD. Ее примеру последовали другие APT-группы, например MuddyWater.

Прогнозы на 2021 год

Перед тем как перейти к прогнозам на 2021 год, хотелось бы отметить, что большинство угроз, наблюдаемых в 2020 году, никуда не денутся. Например, целевые программы-вымогатели будут по-прежнему популярны среди злоумышленников. Поэтому мы не стали выделять новые прогнозы и включили их в общий список.

• Ситуация с COVID-19, скорее всего, приведет к нищете в отдельных регионах мира, что безусловно вызовет рост преступной деятельности (в том числе и киберпреступной). С ухудшением экономической ситуации в разных странах и падением местных валют кража биткойнов станет намного привлекательней. Следует ожидать увеличения количества атак с целью кражи биткойнов, так как это самая распространенная криптовалюта.
• Атаки MageCart будут нацелены на серверы. Мы можем видеть, что с каждым днем все меньше злоумышленников используют атаки через клиента (JavaScript). Есть основания полагать, что они переключат свое внимание на серверы.
• Повторная интеграция и интернализация методов и инструментов в киберпреступной среде. Крупнейшие игроки на рынке вредоносного ПО и те, кто смог неплохо на этом заработать, ради увеличения прибыли будут больше полагаться на собственные разработки и меньше — на внешние ресурсы.
• Ключевые киберпреступные группы из стран, находящихся под экономическими санкциями, могут начать чаще использовать программы-вымогатели, имитируя деятельность других злоумышленников. Они могут использовать уже готовый код или создавать собственные кампании с нуля.
• Так как группы вымогателей получают высокие прибыли, мы ожидаем, что в новых атаках будут использоваться эксплойты нулевого дня, а также эксплойты N-го дня. Злоумышленники будут приобретать и те и другие, чтобы расширить масштабы атак и повысить вероятность успеха, а следовательно, и прибыль.
• Жесткие меры в отношении киберпреступников. В 2020 году Управление по контролю иностранных активов США (OFAC) объявило, что будет отслеживать все платежи интернет-вымогателям. Затем киберкомандование США предотвратило атаку Trickbot накануне выборов. Мы прогнозируем более широкое применение стратегии «постоянного противостояния» в отношении финансовых преступлений. Существует также возможность наложения экономических санкций на организации, территории или даже страны, послужившие исходной точкой для запуска кибератак, за недостаточно эффективное противодействие этим атакам.
• Так как правительства могут использовать специальные средства для мониторинга, деанонимизации и перехвата счетов с биткойнами, мы ожидаем, что киберпреступники перейдут на транзитные кибервалюты для получения выкупов. Есть причины полагать, что они будут использовать для перевода средств и другие, защищенные от отслеживая, валюты, например Monero, а затем конвертировать их в другие кибервалюты, в том числе биткойны.
• Распространение случаев вымогательства. Так или иначе злоумышленники, атакующие финансовые организации, будут прибегать к вымогательству. Они будут использовать для этого шифровальщики или DDoS-атаки либо и то и другое. Такие атаки могут нанести особенно большой урон компаниям, которым придется пройти через сложный процесс восстановления данных или которые будут отрезаны от онлайн-операций.

Это лишь несколько прогнозов на 2021 год. Мы живем в интересное время. Еще двенадцать месяцев назад никто не мог предсказать, что большую часть года нам придется провести в условиях пандемии. Жизнь покажет, что будет дальше.