Киберугрозы для финансовых организаций в 2022 году

Мы начнем этот отчет с того, что проанализируем прогнозы, сделанные в конце 2020 года, и проверим, насколько точными они оказались. Затем вспомним ключевые события 2021 года, связанные с атаками на финансовые организации, а в завершение попробуем предсказать, как будут развиваться события в этой области в 2022 году.

Анализ прогнозов на 2021 год

• Ситуация с COVID-19, скорее всего, приведет к нищете в отдельных регионах мира, что, безусловно, вызовет рост преступной деятельности (в том числе и киберпреступной). С ухудшением экономической ситуации в разных странах и падением местных валют кража биткойнов станет намного привлекательней. Следует ожидать увеличения количества атак с целью кражи биткойнов, так как это самая распространенная криптовалюта.

Да. По данным Бразильской федерации банков, число как обычных преступлений, целью которых являлись клиенты и инфраструктура финансовых учреждений, так и кибератак против тех же целей значительно выросло. В эту статистику вошли, в частности, взрывы в банковских филиалах с целью кражи наличных, а также фишинг и мошенничество с использованием средств социальной инженерии. Этот рост стал результатом экономических проблем, вызванных пандемией.

В довершение всего, биткойн, который в конце 2020 года стоил около 28 000 долл. США, начал быстро расти и в январе 2021-го достиг отметки в 40 000 долл. США. Сейчас он стоит уже около 60 000 долл. США, а киберпреступники научились с помощью вредоносного ПО отслеживать состояние буфера обмена операционной системы, чтобы перенаправлять криптовалюту на подконтрольные им адреса. В период с января до конца октября специалисты «Лаборатории Касперского» выявили более 2300 глобальных мошеннических ресурсов, которые успели привлечь в общей сложности 85 000 потенциальных криптоинвесторов и пользователей, интересующихся майнингом криптовалюты. Влияние локдауна на мировую экономику привело к тому, что некоторые регионы и развивающиеся рынки начали использовать криптовалюту как законное платежное средство или как инструмент для сохранения сбережений.

• Атаки Magecart будут нацелены на серверы. Мы можем видеть, что с каждым днем все меньше злоумышленников используют атаки через клиента (JavaScript). Есть основания полагать, что они переключат свое внимание на серверы.

Да. Группировка Magecart Group 12, которая раньше занималась скиммингом платежных данных клиентов онлайн-магазинов, отказалась от ранее предпочитаемого кода на JavaScript и начала использовать веб-шеллы на PHP для получения административного доступа к сайтам. Происходит это так: легитимные теги значка веб-страницы (favicon) на скомпрометированных сайтах заменяются ссылкой на файл, замаскированный под изображение в формате .PNG, который на самом деле загружает вредоносный PHP-скрипт. Поскольку веб-шелл внедряет скиммер на сервере, а не на стороне клиента, его сложнее обнаружить.

• Повторная интеграция и интернализация методов и инструментов в киберпреступной среде. Крупнейшие игроки на рынке вредоносного ПО и те, кто смог неплохо на этом заработать, ради увеличения прибыли будут больше полагаться на собственные разработки и меньше — на внешние ресурсы.

Да. Раньше группировки нанимали множество сообщников для выполнения различных операций, но при таком подходе всегда есть риск столкнуться с человеческой ошибкой или утечкой данных. Чтобы увеличить прибыль и меньше полагаться на аутсорсинг, некоторые из них, например REvil, даже обманывали собственных партнеров: добавляли к вредоносному ПО бэкдор для перехвата переговоров с жертвами и забирали себе 70% выкупа, предназначавшегося сообщникам.

У группировки Conti тоже были проблемы с наемными работниками: так, один из них выложил в открытый доступ справочные материалы группировки, заявив, что они недоплатили ему за проделанную грязную работу. Опубликованные данные включали IP-адреса командных серверов Cobalt Strike, принадлежавших группировке, и архив весом 113 МБ со множеством инструментов и учебных материалов, в которых рассказывалось, как Conti проводит атаки с использованием шифровальщиков.

• Ключевые киберпреступные группы из стран, находящихся под экономическими санкциями, могут начать чаще использовать программы-вымогатели, имитируя деятельность других злоумышленников. Они могут использовать уже готовый код или создавать собственные кампании с нуля.

Да. В апреле 2021 года группировка Andariel распространила шифровальщики собственной разработки. По данным Корейского института финансовой безопасности, Andariel является подгруппой Lazarus. Интересно, что одна из жертв злоумышленников подверглась атаке шифровальщика после выполнения полезной нагрузки третьего этапа. Этот образец программы-вымогателя преступники явно разработали самостоятельно. Он управлялся с помощью параметров командной строки и, вероятно, получал ключ шифрования от командного сервера или в виде аргумента при запуске.

• Так как группы вымогателей получают высокие прибыли, мы ожидаем, что в новых атаках будут использоваться эксплойты нулевого дня, а также эксплойты N-го дня. Злоумышленники будут приобретать и те и другие, чтобы расширить масштабы атак и повысить вероятность успеха, а следовательно, и прибыль.

Определенно да. Мы зафиксировали множество инцидентов с использованием эксплойтов N-го дня. В качестве примера можно привести атаку на Верховный суд Бразилии, в которой злоумышленники эксплуатировали уязвимости CVE-2019-5544 и CVE-2020-3992 гипервизора VMWare ESXI. Кроме того, многие группировки пользуются уязвимостями VPN-серверов. Именно так злоумышленники провели серию атак с использованием программы-вымогателя Cring. Расследование, проведенное экспертами Kaspersky ICS CERT на одном из скомпрометированных предприятий, показало, что атакующие эксплуатировали уязвимость CVE-2018-13379 VPN-серверов FortiGate.
Некоторые группировки также проводят атаки с использованием уязвимостей нулевого дня. Пожалуй, самым громким из таких инцидентов стал взлом компании Kaseya. Злоумышленники воспользовались уязвимостью CVE-2021-30116 в цепочке поставок для внедрения программы-вымогателя. Жертвой другой громкой атаки, также связанной с компрометацией цепочки поставок, стала компания BQE Software — разработчик биллингового ПО BillQuick, имеющего доступ к базе данных 400 000 пользователей со всего мира. Неизвестные вымогатели воспользовались критической уязвимостью CVE-2021-42258 в решении для биллинга BillQuick Web Suite и с помощью SQL-инъекции установили в сетях жертвы программу-шифровальщик.
Поскольку названные группировки успешно обогатились в ходе предыдущих атак, в дальнейшем нас, вероятно, ждет еще больше попыток эксплуатации известных уязвимостей и уязвимостей нулевого дня для распространения программ-вымогателей.

• Жесткие меры в отношении киберпреступников. В 2020 году Управление по контролю иностранных активов США (OFAC) объявило, что будет отслеживать все платежи интернет-вымогателям. Затем киберкомандование США предотвратило атаку Trickbot накануне выборов. Мы прогнозируем более широкое применение стратегии «постоянного противостояния» в отношении финансовых преступлений. Существует также возможность наложения экономических санкций на организации, территории или даже страны, послужившие исходной точкой для запуска кибератак, за недостаточно эффективное противодействие этим атакам.

Да. OFAC убедительно просит компании не платить вымогателям, чтобы не поощрять их на дальнейшее совершение преступлений, и предупреждает, что, если такие выплаты (а также связанные с ними услуги и действия посредников) нарушат санкции США, к соответствующим лицам будут приняты ограничительные меры. И хотя «ФБР понимает, что, столкнувшись с угрозой для работы бизнеса, руководство готово пойти на все, чтобы защитить акционеров, сотрудников и клиентов», OFAC категорически не рекомендует частным компаниям и гражданам выполнять требования вымогателей, предлагая вместо этого сосредоточиться на усилении защиты и повышении устойчивости к подобным атакам.
В опубликованном OFAC обновленном информационном бюллетене рассказывается о потенциальных рисках нарушения санкций в случае уплаты выкупа или оказания содействия в проведении таких платежей. Здесь же приводятся контакты государственных учреждений (в том числе и самого Управления по контролю иностранных активов), с которыми жертве вымогателей следует связаться, если она подозревает, что выплаты злоумышленникам могут попадать под санкции или иметь к ним какое-либо отношение.
Кроме того, новый законопроект вынуждает американские компании раскрывать всю информацию о выкупе в течение 48 часов после его уплаты. Законопроект о раскрытии информации о выкупе включает:

• Требование к жертвам (за исключением частных лиц) не позднее 48 часов после даты выплаты выкупа передавать государственным органам всю информацию об этих платежах: какую сумму требовали преступники и сколько они в итоге получили, в какой криптовалюте производилась транзакция и все, что известно о вымогателях.
• Требование к Министерству внутренней безопасности ежегодно публиковать информацию, предоставленную пострадавшими от вымогателей (за исключением идентифицирующих данных о самих компаниях, уплативших выкуп).
• Требование к Министерству внутренней безопасности создать веб-сайт, с помощью которого частные лица смогут добровольно сообщать об уплате выкупов.
• Предписание для министра внутренней безопасности провести исследование общих тенденций в области атак вымогателей и их связи с криптовалютами, чтобы разработать рекомендации по защите информационных систем и укреплению кибербезопасности.

Министерство финансов США недавно наложило санкции на два виртуальных пункта обмена валюты, с помощью которых вымогатели обрабатывали платежи, полученные от жертв. В сентябре 2021 года под санкции попал криптообменник SUEX, который обвинили в отмывании денег. А в ноябре, по данным из открытых источников, такие же обвинения предъявили непосредственно связанному с ним обменнику Chatex.

• Так как правительства могут использовать специальные средства для мониторинга, деанонимизации и перехвата счетов с биткойнами, мы ожидаем, что киберпреступники перейдут на транзитные кибервалюты для получения выкупов. Есть причины полагать, что они будут использовать для перевода средств и другие, защищенные от отслеживания, валюты, например Monero, а затем конвертировать их в другие кибервалюты, в том числе биткойны.

Нет. Хотя Министерству юстиции США удалось арестовать 2,3 млн долл. США в криптовалюте, полученных группировкой вымогателей DarkSide, киберпреступники по-прежнему редко выбирают для своих операций анонимные валюты, такие как Monero, Dash или Zcash. Давление на обменники со стороны властей усиливается, поэтому вымогатели, решившие обналичить выкуп, полученный в анонимных монетах, могут столкнуться со значительно большими трудностями, чем те, кто использует биткойны или Ethereum. Хотя такие платежи можно отследить, использование нескольких видов криптовалют и подпольные сервисы по отмыванию денег помогают вернуть эти средства в экосистему легального обмена валюты. Monero же и другие подобные криптовалюты исключены из оборота популярных обменных площадок. Торговать ими или использовать их для обмена стало сложнее.

• Распространение случаев вымогательства. Так или иначе злоумышленники, атакующие финансовые организации, будут прибегать к вымогательству. Они будут использовать для этого шифровальщики или DDoS-атаки либо и то и другое. Такие атаки могут нанести особенно большой урон компаниям, которым придется пройти через сложный процесс восстановления данных или даже всей онлайн-составляющей бизнеса.

Да. 2021 год был ознаменован появлением двух новых ботнетов. В январе появились новости о том, что вредоносное ПО FreakOut атакует устройства с операционной системой Linux. Киберпреступники эксплуатировали несколько критических уязвимостей в программах, установленных на устройствах жертв, в том числе недавно обнаруженную CVE-2021-3007. Операторы ботнета использовали зараженные компьютеры для проведения DDoS-атак и майнинга криптовалюты.
Кроме того, злоумышленники нашли множество новых инструментов для усиления DDoS-атак.
Самым значимым событием в первом квартале 2021 года стало развертывание программы вакцинации от COVID-19. Подключение к ней новых слоев населения нередко вызывало сбои на соответствующих ресурсах. Так, в конце января не выдержал нагрузки веб-сайт для записи на вакцинацию в штате Миннесота.
По нашим данным, некоторые киберпреступники, например члены группировки Egregor (задержаны), вымогали деньги, массово печатая сообщения о выкупе на принтерах в локальной сети. Другие преступники использовали телефонные звонки или оставляли голосовые сообщения с угрозами сотрудникам компаний-жертв и их семьям.

Ключевые события 2021 года

• Аресты участников вымогательских группировок

Поскольку в этом году вымогатели пустились во все тяжкие, а новости об их атаках начали регулярно появляться в заголовках СМИ, правоохранительные органы по всему миру приняли решение ужесточить борьбу с этими группировками. Так, были арестованы члены банды Egregor — оператора одного из самых известных семейств вредоносного ПО, разработанного на основе кода шифровальщиков Sekhmet и Maze. Другой громкий эпизод связан с группировкой REvil (Sodinokibi), шифровальщик которой стал преемником GandCrab (в свою очередь, созданного на основе Cerber). В ноябре некоторые ее участники также были задержаны. Арест Ярослава Васинского и предъявление обвинений Евгению Полянину — отличные примеры эффективного международного сотрудничества в борьбе с киберпреступностью.

• Атаки на Facebook (кража данных в апреле и утечка в октябре)

В связи с ребрендингом Facebook и новой миссией компании, озвученной генеральным директором, утечка данных может представлять серьезные риски для ее клиентов. Некоторые компании полностью перешли на удаленную работу, и перехват учетной записи может нанести серьезный ущерб их бизнесу и продажам.
Как мы помним, цель Meta — объединять людей во всех сферах жизни, включая финансы. Это касается, например, денежных переводов и других операций. Если текстовая информация о клиентах компании утечет в сеть, перед злоумышленниками откроются новые возможности для атак.

• Распространение банковских троянцев для Android

В этом году мы наблюдали глобальное увеличение количества инцидентов, связанных с использованием банковских троянцев для Android, особенно в Европе, Латинской Америке и на Ближнем Востоке. Мы обнаружили несколько семейств вредоносных программ, таких как RealRAT, Coper, Bian, SMisor, Ubel, TwMobo, BRata и BasBanke, которые активно атаковали владельцев мобильных устройств. В некоторых кампаниях преступники применяли социальную инженерию — звонили своим жертвам и после короткого разговора отправляли им специально составленные текстовые сообщения со ссылкой на вредоносный APK-файл.

Прогнозы на 2022 год

• Распространение и консолидация стилеров

Как показала наша телеметрия, в 2021 году произошел стремительный рост темпов распространения программ для кражи данных (стилеров). Количество предложений от разных разработчиков, низкая стоимость и высокая эффективность подобных зловредов позволяют предположить, что эта тенденция будет актуальна и в следующем году. Кроме того, с помощью таких программ можно создавать большие массивы информации для организации целевых и сложных атак.

• Целевые атаки на криптовалютную отрасль

Криптовалютный бизнес продолжает развиваться. Люди охотно инвестируют в криптовалюту, поскольку это цифровой актив, все транзакции которого происходят онлайн с сохранением конфиденциальности участников. Эти же аспекты делают его привлекательным для злоумышленников, причем не только для киберпреступников, но и для группировок с государственной поддержкой, которые уже начали проявлять интерес к этой отрасли. Так, APT-группа BlueNoroff после ограбления банка в Бангладеш начала агрессивно атаковать криптовалютный бизнес и, кажется, не собирается останавливаться.

• Новые угрозы, связанные с криптовалютой: поддельные аппаратные кошельки, атаки на смарт-контракты, взлом DeFi-проектов и др.

В некоторых регионах криптовалюта запрещена, но есть и такие, в которых она получила официальное признание властей. И речь не только о Сальвадоре. Так, мэр Майами заявил, что город собирается платить резидентам, использующим криптовалюту. Он также написал в Twitter, что собирается получать зарплату в биткойнах.
Некоторые люди считают инвестиции в криптовалюту слишком рискованными, но те, кто все же делает это, понимают: самое слабое звено в схеме — это кошелек. И хотя стилеры по большей части атакуют локальные кошельки, облачные кошельки также уязвимы для злоумышленников. Существуют также аппаратные решения, однако их безопасность все еще не подтверждена достаточно надежными и прозрачными оценками защищенности.
Пользуясь ажиотажем вокруг криптовалютных инвестиций, преступники могут начать производить и продавать мошеннические устройства с бэкдорами, а затем с помощью социальной инженерии и других методов похищать данные пользователей.

• Целевые атаки с использованием программ-вымогателей станут более таргетированными и локальными

Пока правоохранительные органы по всему миру совместными усилиями борются с крупными группировками вымогателей, в регионах в изобилии начнут появляться небольшие группы, атакующие своих же земляков.

• Повсеместное внедрение банковского обслуживания в открытом формате может привести к появлению новых возможностей для кибератак

Первой концепцию банковского обслуживания в открытом формате начала использовать Великобритания, но сегодня ее внедряют многие другие страны. Поскольку в основе большинства таких систем лежат запросы к открытым API и веб-API, выполняемые финансовыми организациями, следует ожидать, что киберпреступники начнут чаще атаковать их, отмечает Gartner: «В 2022 году атаки через API станут самым распространенным вектором проникновения с целью кражи данных корпоративных веб-приложений».

• Расцвет мобильных банковских троянцев

Поскольку во время пандемии люди по всему миру начали активно использовать приложения для мобильного банкинга (так, в Бразилии в 2020 году на их долю пришелся 51% всех транзакций), мы ожидаем появления новых мобильных банковских троянцев — в частности, троянских программ удаленного доступа (RAT), способных обходить такие меры безопасности, как одноразовые пароли и многофакторная аутентификация. Региональные проекты по разработке имплантов для Android приобретут глобальный масштаб. Новыми жертвами киберпреступников станут жители стран Западной Европы.

• Новые угрозы для систем электронных платежей

В период пандемии многие компании перевели свои системы в онлайн. Люди, вынужденные сидеть дома из-за карантина или локдауна, стали все чаще делать покупки в интернет-магазинах и пользоваться системами электронных платежей. Однако этот стремительный переход не сопровождался надлежащими мерами безопасности, в результате чего онлайн-сервисы стали привлекательными мишенями для множества киберпреступников. Эта проблема особенно остро стоит в развивающихся странах, и решение для нее еще не найдено.

• С ростом числа финансовых приложений растет и объем ценных финансовых данных в них, привлекательных для киберпреступников

Использование систем электронных платежей и финансовых приложений приводит к тому, что на мобильных устройствах скапливается много важной персональной информации. Чтобы завладеть ею, киберпреступные группировки будут использовать новые изощренные стратегии, включающие технологию дипфейк и продвинутое вредоносное ПО.

• Удаленные работники, использующие рабочие компьютеры в развлекательных целях, например для онлайн-игр, останутся угрозой для финансовой безопасности организаций

В 2020 году число геймеров во всем мире превысило отметку в 2,7 млрд человек. Самые активные темпы роста наблюдаются в Азиатско-Тихоокеанском регионе. Несмотря на то что в апреле и мае 2020 года игровые платформы столкнулись с самым большим количеством посетителей за всю историю своей работы, в марте этого года сервис Steam установил новый рекорд — 27 млн человек, играющих одновременно. В статье «Играют ли киберпреступники в киберигры на карантине?» мы уже рассказывали, что люди нередко используют корпоративные ноутбуки для игр, просмотра фильмов и обучения на образовательных платформах. Прийти к таким выводам было несложно: в 2020–2021 годах на рынке мобильных видеокарт Intel и AMD произошел настоящий бум продаж. Эта тенденция по-прежнему актуальна. В 2020 году 46% сотрудников еще не имели опыта удаленной работы, а сегодня две трети из них заявляют, что не хотят возвращаться в офис, а остальные утверждают, что посещают его реже.
В это время киберпреступники, используя такие видеоигры, как Minecraft и Counter-Strike: Global Offensive, распространяют вредоносное ПО, крадут учетные данные, игровые предметы и платежную информацию. А голливудские блокбастеры становятся ловушкой для любителей кино, которые отчаянно хотят посмотреть фильм, не дожидаясь премьеры, с комфортом расположившись на собственном диване. Так произошло, например, с последней частью бондианы «Не время умирать». Киберпреступники использовали рекламное ПО, троянцы и шифровальщики для кражи личных данных пользователей и дальнейшего шантажа.

• Вредоносное ПО для банкоматов и платежных терминалов возвращается, чтобы мстить

В период пандемии в некоторых регионах наблюдалось существенное уменьшение количества транзакций, производимых с помощью банкоматов и платежных терминалов. Локдаун вынудил людей оставаться дома и делать покупки через интернет, что, в свою очередь, сказалось на распространении вредоносного ПО для платежных устройств. Однако после снятия ограничений мы ожидаем активизации известных проектов по разработке зловредов такого типа, а также появления новых. Это неудивительно, ведь киберпреступники получат физический доступ к банкоматам и терминалам одновременно с клиентами предприятий розничной торговли и финансовых организаций.