Kaspersky Security Bulletin

Киберугрозы финансовым учреждениям в 2020 году: обзор и прогнозы

Ключевые темы 2019 года

  • Крупномасштабный обход защиты от мошенничества: обнаружен рынок цифровых отпечатков Genesis
  • Сложности с мультифакторной аутентификацией (МФА) и использованием биометрии
  • Организаторы целевых атак, специализирующиеся на финансовых учреждениях: разделение и глобализация
  • Вредоносные атаки на банкоматы становятся более таргетированными
  • Кража и незаконное использование данных банковских карт: участившиеся атаки MageCard и битва вредоносного ПО для POS-терминалов в Латинской Америке

Крупномасштабный обход защиты от мошенничества: обнаружен рынок цифровых отпечатков Genesis

За последние несколько лет киберпреступники потратили огромные ресурсы, совершенствуя методы обхода защиты от мошенничества. Сейчас, чтобы обмануть системы безопасности банка с целью наживы, уже недостаточно просто заполучить логин, пароль и идентификационные данные пользователя — теперь нужен еще и цифровой отпечаток. В 2019 году мы обнаружили огромный подпольный интернет-рынок Genesis, на котором продаются цифровые отпечатки пользователей интернет-банков со всего мира.

В контексте систем защиты от мошенничества «цифровая личность» пользователя состоит из цифрового отпечатка — характеристик системы, уникальных для каждого устройства — и персональных поведенческих характеристик пользователя. Цифровой отпечаток включает: IP-адрес (внешний и локальный), информацию об экране (разрешение экрана, размер окна), версию прошивки, версию операционной системы, установленные расширения браузера, часовой пояс, ID устройства, информацию о батарее, шрифты и прочее. Устройства запоминают более 100 характеристик, используемых во время серфинга в Сети. Вторая составляющая «цифровой личности» — поведенческий анализ.

Поскольку киберпреступники постоянно ищут способы обмануть системы защиты от мошенничества, они пытаются подменить настоящий цифровой отпечаток системы поддельным или украденным с компьютера другого пользователя.

Genesis Store — это закрытый онлайн-рынок для киберпреступников, где продаются украденные цифровые отпечатки. На момент нашего исследования на нем было выставлено более 60 тысяч похищенных профилей ботов. Они включают в себя отпечатки браузера, имена пользователей и пароли для различных веб-сайтов, cookie-файлы, данные банковских карт и прочее. Выгружая такие отпечатки в браузер Tenebris Linken Sphere, преступники могут выдавать себя за добропорядочных пользователей интернет-банков из любого региона, города, страны и так далее.

Подобные атаки демонстрируют, как глубоко преступники изучили механизмы работы внутренних банковских систем и как непросто противостоять таким угрозам. И лучший способ защититься от них — всегда использовать мультифакторную аутентификацию.

Сложности с мультифакторной аутентификацией (МФА) и использованием биометрии

Мультифакторная аутентификация (МФА) — серьезное препятствия для киберпреступников. Сталкиваясь с МФА, злоумышленникам приходится искать способы обойти ее, и вот что они использовали в прошлом году.

  • Эксплуатация уязвимостей и недочетов в конфигурации системы. Например, мошенникам удалось найти несколько багов в системах дистанционного банковского обслуживания и использовать их, чтобы обойти одноразовые коды доступа.
  • Социальная инженерия — часто используемый метод среди русскоговорящих киберпреступников, а также в Азиатско-Тихоокеанском регионе.
  • Подмена SIM-карт: этот способ наиболее популярен в Латинской Америке и в Африке. Несмотря на то что SMS-проверка уже не считается надежным методом двухфакторной аутентификации, ее финансовая доступность делает ее наиболее популярным способом верификации среди поставщиков услуг.

В теории биометрия должна решать основную массу проблем, связанных с двухфакторной аутентификацией, но на практике все не так просто. За последний год несколько случаев показало, что технология биометрии все еще далека от совершенства.

Во-первых, до сих пор существуют трудности, связанные с ее реализацией. Например, при распознавании лица смартфон Google Pixel 4 не проверяет, открыты ли у пользователя глаза. Еще один пример — возможность обхода аутентификации по отпечатку пальца на смартфонах со встроенным в экран сенсором. Такие аппараты сейчас производят многие компании, включая такие популярные бренды, как Samsung.

В Латинской Америке какое-то время мошенники использовали такой прием, как атака с видеозахватом. Киберпреступники устанавливали собственные камеры наблюдения и с их помощью узнавали PIN-коды для разблокировки телефонов. Этот простой прием до сих пор очень эффективен как против тех, кто использует биометрический способ разблокировки, так и тех, кто предпочитает ввод PIN-кода функциям распознавания лица или проверке по отпечатку пальца. Во-первых, если сканер отпечатка или палец чем-то испачкан, будет проще разблокировать телефон с помощью PIN-кода.

Во-вторых, имели место скандальные утечки баз биометрических данных. Самой известной из них стала утечка базы данных платформы BioStar 2, содержавшей биометрические характеристики более 1 миллиона пользователей. Компания хранила данные в незашифрованном виде, в частности имена, пароли, домашние и электронные адреса, и, что важнее всего, незашифрованные биометрические данные, включавшие отпечатки пальцев и паттерны распознавания лица, а также сами фотографии лиц. Похожий инцидент произошел с компанией-подрядчиком погранично-таможенной службы США: тогда злоумышленники похитили биометрические характеристики более 100 000 человек.

Методы обхода систем безопасности с помощью биометрических данных уже не раз были успешно реализованы в виде proof-of-concept, но каждый из этих инцидентов могу быть предотвращен при наличии своевременного обновления системы. С другой стороны, обновления не помогут, если для несанкционированного доступа к системе безопасности мошенники используют данные, украденные во время одной из последних утечек, ведь биометрические характеристики пользователя не меняются на протяжении всей жизни.

Учитывая вышеупомянутые примеры, а также все усилия киберпреступников, направленные на получение цифровых отпечатков пользователей для обхода систем защиты от мошенничества, можно сделать вывод, что биометрия — не панацея от текущих проблем. Современные способы реализации биометрических технологий требуют значительной доработки и дополнительных исследований, чтобы они стали действительно безопасными.

Организаторы целевых атак, специализирующиеся на финансовых учреждениях: разделение и глобализация

FIN7

В 2018 Европол и Министерство юстиции США заявили об аресте лидера киберпреступных группировок FIN7 и Carbanak/CobaltGoblin. Некоторые полагали, что этот арест станет серьезным ударом по деятельности злоумышленников, однако эти надежды не оправдались. По факту количество групп, действующих по тому же шаблону, что FIN7 и CobaltGoblin, выросло: сейчас в мире существует несколько взаимосвязанных преступных организаций, использующих очень схожий программный арсенал и идентичную инфраструктуру.

Первая упомянутая группа — получившая широкую известность FIN7, специализирующаяся на атаках различных компаний с целью получения доступа к их финансовым данным и POS-инфраструктуре. Эти мошенники используют JScript-бэкдор Griffon, Cobalt/Meterpreter, а в самых недавних атаках — еще и PowerShell Empire.

Вторая группировка известна как CobaltGoblin/Carbanak/EmpireMonkey. Она использует тот же инструментарий, те же методы и схожую инфраструктуру, но атакует только финансовые учреждения и обслуживающих их поставщиков программного обеспечения и услуг.

Последняя такая группа — недавно обнаруженная организация CopyPaste, которая атаковала финансовые учреждения и компании в одной из стран Африки. Мы полагаем, что эта группировка связана с кибернаемниками или неким учебным центром. Пока что нет убедительных доказательств связи между CopyPaste и FIN7. Есть вероятность, что лица, ответственные за эти кибератаки, просто разработали свои методы на основе общедоступных материалов и в реальности не связаны с FIN7.

Лакомым кусочком для перечисленных групп являются непропатченные системы в корпоративных сетях. Они продолжают эффективно проводить целевые фишинг-атаки и применять известные эксплойты для Microsoft Office. Эксплойты «нулевого дня» киберпреступники пока не использовали. Фишинговые схемы FIN7/Cobalt могут показаться простыми, но в сочетании с масштабными целевыми атаками с применением методов социальной инженерии эффективность таких приемов оказывается довольно высокой.

В середине 2019 года FIN7 залегла на дно, но в конце года снова заявила о себе, осуществив новые атаки с использованием новых инструментов. Мы подозреваем, что период бездействия группировки был связан с отключением их инфраструктуры в связи с закрытием в Восточной Европе bulletproof-хостинга.

В отличие от FIN7, активность Cobalt Goblin Group оставалась на стабильном уровне на протяжении всего года, что стало еще одним подтверждением того, что эти группы взаимосвязаны, но действуют независимо друг от друга. Несмотря на то что их инструментарий и приемы очень схожи, группы действуют сами по себе и лишь в редких случаях используют некоторые общие элементы инфраструктуры. В то же время интенсивность атак, по сравнению с 2018 годом, несколько снизилась. Тактика Cobalt Goblin осталась прежней: группировка использует документы с эксплойтом, который сначала внедряет в систему небольшой загрузчик, а затем — вредоносное вложение Cobalt. Как и прежде, злоумышленники атакуют небольшие банки в разных странах. Вероятно, сокращение количества атак обусловлено диверсификацией: есть основания предполагать, что группа также занимается перехватом JavaScript (атаки MageCart) с целью получения данных платежных карт напрямую с веб-сайтов.

В этом году мошенники часто прибегали к этому приему, и мы обнаружили несколько тысяч торговых онлайн-площадок, зараженных их вредоносным кодом. Выявленные скрипты работают по разным принципам, инфраструктура злоумышленников также различается. Это наводит на мысль, что по меньшей мере десяток групп проводит подобные атаки.

Группировка Silence на протяжении года активно расширяла сферу своей деятельности, распространив ее на разные страны. Мы зафиксировали атаки в регионах, где никогда раньше их не наблюдали. В частности, были зарегистрированы инциденты в Юго-Восточной Азии и Латинской Америке. Это указывает на то, что Silence либо расширила свою операционную базу, либо начала сотрудничать с региональными киберпреступными группировками. Однако если проследить за развитием их основного бэкдора, становится очевидно, что за последние два года используемые ими технологии практически не изменились.

Вредоносные атаки на банкоматы становятся более таргетированными

В 2019 году мы обнаружили несколько совершенно новых семейств вредоносных программ для банкоматов. Из них следует выделить такие, как ATMJadi и ATMDtrack.

ATMJadi интересна тем, что не использует стандартные библиотеки XFS, JXFS или CSC. Вместо этого она использует собственные классы Java в программном обеспечении банкоматов организации-жертвы — соответственно, такое вредоносное ПО может работать только на очень небольшом количестве банкоматов. Из этого следует, что описанное ПО является узконаправленным (нацеленным на один конкретный банк).

Здесь в памяти всплывает инцидент с FASTcach, произошедший в 2018 году, когда преступники атаковали только серверы под управлением AIX OS. Мы предполагаем, что в связи с сокращением количества терминалов для снятия наличных вредоносные программы для банкоматов встречаются все реже и становятся более таргетированными.

Также следует упомянуть о зловреде ATMDtrack, который позволяет снимать с банкоматов наличные. Он был впервые обнаружен в финансовых учреждениях Индии. С помощью автоматизированной системы «Лаборатории Касперского» для атрибуции целевых атак мы установили, что за всеми этими действиями стоит группировка Lazarus. Это подтвердило выдвинутое нами в 2018 году предположение о том, что число инициированных на государственном уровне атак на финансовые учреждения вскоре возрастет. Кроме того, схожее шпионское ПО было обнаружено в некоторых исследовательских центрах, а APT-группировка Lazarus, как известно, использует практически идентичные инструменты для кражи исследовательских данных из научных учреждений.

Кража и незаконное использование данных банковских карт

В течение года мы наблюдали активное использование вредоносного ПО для кражи данных банковских карт, нацеленного как на частных лиц, так и на компании. В частности, в Бразилии мы заметили «борьбу» между семействами вредоносных программ за контроль над зараженными устройствами. HydraPOS и ShieldPOS были очень активны на протяжении всего года: появились их новые версии, атакующие множество новых целей. Prilex же, напротив, уступил позиции во второй половине года.

ShieldPOS был активен по меньшей мере с 2017 года и эволюционировал из обычного вредоносного ПО в MaaS. Это говорит о том, что киберпреступники в Латинской Америке очень заинтересованы в освоении «бизнеса» по краже кредитных карт. HydraPOS в основном направлен на кражу денег из POS-систем в ресторанах, на парковках и в розничных магазинах.

По сравнению с ShieldPOS, HydraPOS является более старой кампанией, проводимой группировкой Maggler. Эти ребята занимаются кражей данных кредитных карт как минимум с 2016 года. Основное отличие HydraPOS от ShieldPOS заключается в том, что она не работает как MaaS. Мы предполагаем, что в обоих случаях первичным вектором заражения является тщательно подготовленная кампания социальной инженерии, включающая общение с жертвой по телефону.

Анализ прогнозов на 2019 год

Прежде чем выдвигать какие-либо предположения касательно 2020 года, давайте посмотрим, насколько точными оказались наши прогнозы на 2019 год.

Вследствие раскола Cobalt/Carbanak и FIN7 образуются новые группировки и сформируется новая география киберугроз.

  • Да, мы наблюдали активность CobaltGoblin, FIN7, CopyPaste, а также зафиксировали деятельность Silence с помощью индикаторов заражения.

Будут проведены первые атаки с использованием украденных биометрических данных.

  • Да, на протяжении всего года злоумышленники регулярно взламывали различные базы биометрических данных. Мы также обнаружили подпольный онлайн-рынок, на котором преступники могут купить цифровые отпечатки, содержащие, помимо прочего, поведенческие характеристики пользователей (один из компонентов биометрических данных).

Появятся новые региональные группировки, атакующие финансовые учреждения в Индо-Пакистанском регионе, Юго-Восточной Азии и Центральной Европе.

  • Нет. Оказалось, что эту территориальную нишу заняли такие известные группировки, как Lazarus, Silence и CobaltGoblin, которые активно атаковали финансовые учреждения в этих регионах.

Новые атаки на цепочки поставок будут угрожать небольшим компаниям, оказывающим услуги финансовым учреждениям по всему миру.

  • Да.

Киберпреступники будут преимущественно атаковать наиболее легкие мишени и научатся обходить средства защиты от мошенничества. Вследствие этого на смену POS-атакам придут атаки на системы онлайн-оплат (Magecart/перехват JavaScript).

  • Да, на протяжении года атаки на системы онлайн-платежей случались все чаще. Мы обнаружили тысячи веб-сайтов, подвергшихся перехвату JS-данных.

Злоумышленники будут обходить системы кибербезопасности финансовых учреждений с помощью физических устройств, подключенных к внутренней сети.

  • Да, причем от подобных атак пострадали не только финансовые учреждения, но и аэрокосмическая индустрия в лице NASA.

Киберпреступники начнут атаковать корпоративных пользователей интернет-банков.

  • Нет.

Операторы, секретари и другие сотрудники, отвечающие за безналичные переводы, станут мишенью для продвинутых атак с применением социальной инженерии.

  • Да, атаки на корпоративные аккаунты электронной почты участились во всем мире. Мы наблюдали масштабные атаки в Японии; также были зафиксированы кампании в Южной Америке, главным образом в Эквадоре.
  • Кроме того, в Бразилии киберпреступники активно проводили атаки (в частности, HydraPOS) с использованием социальной инженерии: операторов POS-терминалов обманом заставляли скачивать с вредоносного сайта специально спроектированные модули удаленного управления и запускать их на рабочих устройствах.

Прогнозы на 2020 год

Атаки на Libra и TON/Gram

Создание таких криптовалют, как Libra и Gram, в случае их повсеместного распространения на международном рынке, разумеется, привлечет внимание мошенников. Учитывая заметный всплеск киберпреступной активности на фоне растущей популярности Bitcoin и альткоинов в 2018 году, мы полагаем, что вокруг Libra и Gram развернется похожая ситуация. Крупным игрокам на этом рынке следует проявлять особую осторожность, поскольку криптоактивы входят в сферу интересов таких известных APT-группировок, как Wild Neutron и Lazarus. Вероятнее всего, они найдут способ воспользоваться ситуацией.

Перепродажа доступа к банковским системам

В 2019 году мы наблюдали случаи, когда группировки, специализирующиеся на целевых атаках финансовых учреждений, проникали в сети жертв уже после вторжения других группировок, продающих доступы по RDP и VNC, в частности FXMSP и TA505. Мы также нашли подтверждение этим фактам на просторах теневых форумов и чатов.

В 2020 году мы ожидаем рост активности группировок, специализирующихся на продаже доступа к сетям, в Африке и в Азии, а также в Центральной Европе. Основные цели мошенников — небольшие банки, а также финансовые организации, недавно приобретенные крупными компаниями и перестраивающие свои системы кибербезопасности в соответствии со стандартами своих новых владельцев.

Атаки программ-вымогателей на банковские сети

Этот прогноз логически вытекает из предыдущего. Как мы уже сказали, небольшие финансовые учреждения часто становятся жертвами киберпреступников, ищущих любые возможности обогатиться. Если преступникам не удается продать доступ к сетям организации или вероятность получения прибыли от атаки уменьшается, самым логичным способом монетизации этого доступа становится использование программы-вымогателя. Такие организации, как банки, скорее заплатят выкуп, чем допустят потерю ценных данных, поэтому мы считаем, что в 2020 году количество атак с применением программ-вымогателей продолжит расти.

Еще одним вектором подобных атак на небольшие и средние финансовые учреждения станет схема PPI. Традиционные ботнеты как среда распространения вредоносного ПО в финансовых организациях со временем будут становиться все популярнее.

2020 год: возвращение к истокам

В то время как технологии киберзащиты активно развиваются, антивирусные продукты эффективно отслеживают инструменты с открытым кодом, используемые для проведения тестов на проникновение. Как следствие, в 2020 году киберпреступники будут вынуждены вернуться к разработке собственных инструментов, а также вкладывать ресурсы в создание новых троянцев и эксплойтов.

Повсеместное заражение интернет-банков троянцами как следствие утечки исходного кода

Наши исследования и мониторинг теневых форумов позволяют предположить, что произошла утечка, вследствие которой исходный код нескольких наиболее часто встречающихся банковских троянцев попал в открытый доступ. Учитывая их популярность, мы ожидаем повторение ситуации с утечкой исходного кода ZeuS и SpyEye: возрастет количество возможных атак, а очаги заражения распространятся практически по всему миру.

Инвестиционные приложения — новая мишень для киберпреступников

Мобильные приложения для инвестиций набирают популярность в разных странах мира. В 2020 году эта тенденция не останется без внимания киберпреступников. Учитывая популярность некоторых финансово-технологических компаний и бирж (работающих как с реальными, так и с виртуальными деньгами), злоумышленники поймут, что не все смогут противостоять массированным кибератакам. В некоторых приложениях до сих пор не реализована базовая защита пользовательских аккаунтов, двухфакторная аутентификация и возможность установки личного сертификата. В некоторых странах мира правительство не регулирует эти аспекты должным образом, что приводит к росту активности местных киберпреступных группировок. Мы уже наблюдали попытки мошенников подменить интерфейсы незащищенных приложений своими собственными вредоносными версиями.

Атаки Magecart 3.0: появятся новые группировки, а облачные приложения станут их основной целью

В течение двух последних лет перехват JavaScript приобрел у киберпреступных группировок огромную популярность. К сожалению, площадь кибератак сейчас как никогда велика: веб-сайты электронной торговли уязвимы для мошенников, а цены на инструменты для перехвата JavaScript невероятно низки (от 200 долл. США на различных форумах). На текущий момент мы выделяем как минимум 10 различных группировок, стоящих за атаками этого типа, и полагаем, что в следующем году их количество продолжит расти. Самыми опасными станут атаки на поставщиков услуг электронной коммерции, так как это скомпрометирует тысячи других компаний.

Нестабильность политической обстановки в определенных регионах приведет к распространению киберпреступности

Вследствие нестабильной политической обстановки и социальных потрясений во всем мире жители разных регионов пытаются получить в других странах статус беженцев. Среди иммигрантов могут оказаться самые разные люди, в том числе и киберпреступники. В результате этого атаки, специфичные для определенных регионов, могут распространиться на страны, где их раньше не наблюдали.

Киберугрозы финансовым учреждениям в 2020 году: обзор и прогнозы

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Азиатские APT-группировки: тактики, техники и процедуры

Делимся с сообществом подходами, которые используют азиатские APT-группировки при взломе инфраструктуры, и подробной информацией о тактиках, техниках и процедурах (TTPs) злоумышленников, основанной на методологии MITRE ATT&CK.

Как поймать «Триангуляцию»

Эксперты «Лаборатории Касперского» смогли получить все этапы «Операции Триангуляция»: эксплойты нулевого дня для iOS, валидаторы, имплант TriangleDB и дополнительные модули.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике