Посты о SOC, TI и IR

Финансовые киберугрозы в 2017 году

В 2017 году мы наблюдали большие перемены в мире киберугроз для финансовых организаций и появление новых киберпреступных группировок. Как мы уже писали, в ушедшем году атаки атакующие все больше ориентировались на аккаунты пользователей финансовых сервисов. Персональные данные являлись основной целью широкомасштабных вредоносных атак, а частые утечки данных обеспечивали киберпреступников ценными сведениями, которые они используют для манипуляций с номерами банковских карт или атак с применением фальшивой личности. Атаки на аккаунты пользователей могут привести к и другим серьезным проблемам, в том числе к дальнейшим утечкам информации о клиентах и потере их доверия, поэтому минимизация негативных последствий как никогда важна и для бизнеса, и для клиентов финансовых сервисов.

В 2017 году атаки на банкоматы становились все более привлекательными для киберпреступников и их количество продолжало расти. Для взлома банковской инфраструктуры или платежной системы злоумышленники использовали как сложные бесфайловые вредоносные программы, так и более «традиционные» методы – заклеивание объектива камеры наблюдения и сверление отверстий. В 2017 году эксперты «Лаборатории Касперского» раскрыли атаки на банкоматы, в которых были задействованы новая вредоносная программа, зловред для удаленного управления банкоматами и вредоносное ПО для атак на ATM под называнием Cutlet Maker, которое открыто продавалось на рынке Darknet за несколько тысяч долларов (с прилагаемой пошаговой инструкцией для пользователя в комплекте). Добавим, что ранее мы публиковали отчет с описанием возможных сценариев атак, нацеленных на системы аутентификации ATM.

Крупные киберинциденты также происходили в ушедшем году. В сентябре эксперты «Лаборатории Касперского» выявили новую серию целевых атак, направленных на как минимум 10 финансовых организаций в разных регионах, в том числе в России, Армении и Малайзии. Удары были нанесены новой группировкой, названной Silence. Для кражи денег у своих жертв Silence применила специфические техники, очень похожие на те, что использовала печально известная кибрегруппировка Carbanak.

Таким образом, Silence вошла в ряд самых разрушительных и сложных операций по киберграбежу, таких как Metel, GCMAN и Carbanak/Cobalt, в ходе которых у финансовых организаций были украдены миллионы долларов. Интересной особенностью этой группировки является использование преступниками инфраструктуры уже зараженных финансовых учреждений для новых атак — отправка новым жертвам сообщений с реальных адресов электронной почты сотрудников с запросом на открытие банковского счета. Использование этого трюка позволяет преступникам усыпить бдительность получателя.

Предприятия малого и среднего бизнеса также не избежали финансовых угроз. В прошлом году эксперты «Лаборатории Касперского» обнаружили новый ботнет, который «зарабатывал» на агрессивной рекламе, в основном в Германии и США. Преступники заражают компьютеры своих жертв с троянской программой-кликером Magala, которая имитирует клик пользователя на заданных рекламных страницах и получает до 350 долларов с каждой зараженной машины. Жертвами этой мошеннической схемы в большинстве своем становятся владельцы малого бизнеса, решившие разместить рекламу своей компании через неблагонадежных рекламодателей.

Перемещаясь еще на один шаг вниз – от малых и средних предприятий до отдельных пользователей – мы можем сказать, что 2017 год не дал последним возможности передохнуть от финансовых угроз. Эксперты «Лаборатории Касперского» обнаружили NukeBot — новое вредоносное ПО, предназначенное для кражи учетных данных клиентов онлайн-банкинга. Более ранние версии этого троянца были известны индустрии безопасности как TinyNuke, но им не хватало функциональности для проведения атак. А вот более поздние его версии полностью работоспособны и содержат код, предназначенный для атак на пользователей конкретных банков.

В этом отчете обобщается информация, представленная в серии отчетов «Лаборатории Касперского», дающая представление о том, как менялся ландшафт финансовых угроз на протяжении года. В нем идет речь о распространенных фишинговых угрозах, с которыми сталкиваются пользователи, а также о вредоносном финансовом ПО для устройств на базе Windows и Android.

Основные данные, представленные в отчете за 2017 год:

Фишинг:

  • В 2017 году доля фишинговых атак на финансовый сектор увеличилась с 47,5% до почти 54% от всех обнаруженных фишинговых атак. По данным «Лаборатории Касперского», это рекордное значение для финансового фишинга.
  • Почти каждая четвертая попытка загрузки фишинговой страницы, заблокированная продуктами «Лаборатории Касперского», связана с банковским фишингом.
  • В 2017 году доля фишинга, связанного с платежными системами и интернет-магазинами, составила почти 16% и 11% соответственно. Это немного больше (на один процентный пункт), чем в 2016 году.
  • Доля фишинга, приходящегося на пользователей MacOS, удвоилась и составляет почти 56%.

Вредоносное банковское ПО:

  • В 2017 году число пользователей, атакованных банковскими троянскими программами, составило 767 072, что на 30% меньше, чем в 2016 году (1 088 900).
  • 19% пользователей, атакованных вредоносным банковским ПО, являлись корпоративными пользователями.
  • Чаще всего атакам с использованием вредоносного банковского ПО подвергались пользователи в Германии, России, Китае, Индии, Вьетнаме, Бразилии и США.
  • Zbot по-прежнему является наиболее распространенным семейством вредоносных банковских программ (почти 33% атакованных пользователей), однако, теперь его право первенства оспаривает семейство Gozi (27,8%).

Вредоносное банковское ПО для Android

  • В 2017 году количество пользователей во всем мире, атакованных вредоносным банковским ПО для Android, снизилось почти на 15% до 259 828.
  • В подавляющем количестве атаках на пользователей (более 70%) участвовали всего три семейства вредоносных банковских программ.
  • Странами с самым высоким процентом пользователей, подвергшихся атакам вредоносного банковского ПО для Android, стали Россия, Австралия и Туркменистан

 Прочитать полный текст отчета «Финансовые киберугрозы в 2017 году» (на английском языке, в PDF)

Финансовые киберугрозы в 2017 году

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Азиатские APT-группировки: тактики, техники и процедуры

Делимся с сообществом подходами, которые используют азиатские APT-группировки при взломе инфраструктуры, и подробной информацией о тактиках, техниках и процедурах (TTPs) злоумышленников, основанной на методологии MITRE ATT&CK.

Как поймать «Триангуляцию»

Эксперты «Лаборатории Касперского» смогли получить все этапы «Операции Триангуляция»: эксплойты нулевого дня для iOS, валидаторы, имплант TriangleDB и дополнительные модули.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике