Финансовые киберугрозы и crimeware в 2024 году

Эксперты «Лаборатории Касперского» постоянно отслеживают вредоносное ПО, нацеленное на банки и финансовые учреждения, а также финансовые угрозы, такие как шифровальщики, атакующие организации различных отраслей. В рамках проекта Kaspersky Security Bulletin мы пытаемся предсказать развитие финансовых угроз в следующем году, чтобы помочь компаниям и обычным пользователям подготовиться к столкновению с ними. В начале этой статьи мы оценим, насколько точными оказались наши прошлогодние прогнозы, а затем поговорим о возможных трендах 2024 года.

Анализ прогнозов на 2023 год

1. Развитие Web3 и сопутствующих угроз

   Да. В прошлом году мы предположили, что с развитием индустрии игр и других развлечений концепция Web3 продолжит завоевывать популярность, и, как следствие, число связанных с ней угроз будет расти. Кроме того, с ростом популярности криптовалют увеличится и объем мошенничества в этой сфере. Как мы и предполагали, пользователи стали более грамотными в вопросах криптовалюты и реже попадаются на примитивные мошеннические схемы. Тем не менее, как показывает отчет ИБ-компании Certik, в 2023 году действительно возросло количество атак на владельцев криптовалют — мошеннические схемы, рагпуллы и эксплойты принесли злоумышленникам около 1 млрд долларов. Вывод: прогноз сбылся.

2. Популярность загрузчиков вредоносного ПО на черном рынке

   Да. Мы прогнозировали, что загрузчики вредоносного ПО станут одними из самых популярных товаров на черном рынке. Этот тренд мы действительно наблюдали в 2023 году: злоумышленники сосредоточили свое внимание на загрузчиках и дропперах, помогающих избегать обнаружение. Это подтверждает появление на теневых форумах ASMCrypt и новых методов скрытной доставки вредоносного ПО на устройство жертвы.. Вывод: прогноз сбылся.

3. Злоумышленники расширят свой арсенал сред тестирования на проникновение, которыми пользуются команды red team

   Нет. Мы предполагали, что злоумышленники будут развертывать больше фреймворков типа Cobalt Strike и Brute Ratel C4, которые применяются командами red team в тестировании на проникновение. Однако нам не попалось новых разработок, похожих на эти инструменты, — прогноз не сбылся. Очевидно, что в 2023 году тенденция к использованию фреймворков для тестирования на проникновение оказалась не такой популярной, как ожидалось.

4. Новые валюты выкупа

   Нет. Мы предполагали, что из-за санкций и изменений в законодательстве вымогатели будут предпочитать другие формы выкупа вместо биткойна, но мы ошиблись. Несмотря на сдвиги в финансовом секторе и законодательной базе, вымогатели по-прежнему предпочитают биткойны. Многие крупные RaaS-операторы используют криптомиксеры, чтобы анонимизировать транзакции при получении выкупа.

5. Группы вымогателей и разрушительная активность

   Да. Мы предсказывали, что в 2023 году группы вымогателей сосредоточатся на разрушительных (в частности, политически мотивированных) атаках, отодвинув финансовые интересы на второй план, и оказались правы. В частности, мы обнаружили новый вайпер CryWiper, который маскировался под шифровальщика, и программу-вымогатель Roadsweep, которая необратимо шифровала файлы жертв, что говорит об изменении мотивов и тактик злоумышленников.

В целом большинство прогнозов на 2023 год оказались верными: развитие новых угроз в мире Web3 и криптовалют, рост популярности загрузчиков вредоносного ПО на теневом рынке и изменение мотивов вымогателей. Прогноз об активном использовании новых средств для тестирования на проникновение в преступных целях в целом не оправдался — мы не наблюдали в атаках новых популярных фреймворков, отличных от Cobalt Strike и Brute Ratel C4. Вопреки нашим ожиданиям, операторы шифровальщиков остались верны биткойну, при этом они полагаются биткойн-миксеры, чтобы маскировать свои транзакции.

Прогнозы по финансовым киберугрозам на 2024 год

В 2024 году экспертам по финансовой кибербезопасности придется решать множество сложных задач и противостоять все более изощренным тактикам и инструментам злоумышленников, эксплуатирующих уязвимостей финансовых систем. В данном отчете мы рассмотрим несколько основных трендов и новых угроз, таких как активное применение ИИ в киберпреступных целях, мошенничество, нацеленное на пользователей систем мгновенных платежей, глобальное распространение систем автоматического перевода (ATS) и бразильских банковских троянцев, а также новые тактики операторов шифровальщиков.

1. Вырастет число атак с использованием ИИ

   В 2024 году в финансовом секторе стремительно возрастет количество кибератак с использованием технологий машинного обучения. С помощью генеративного ИИ киберпреступники будут создавать правдоподобные рекламные объявления, электронные письма и другие сообщения. Такой подход приведет к росту числа непрофессиональных атак — порог вхождения в эту нишу снизится, при этом возрастут шансы обмануть жертву.

2. Мошенники будут атаковать системы мгновенных платежей

   Системы мгновенных платежей, такие как PIX в Бразилии, FedNow в США и UPI в Индии, становятся всемирным трендом, и киберпреступники попытаются интегрировать их в свои мошеннические схемы. Мы ожидаем рост числа атак через буфер обмена с помощью зловредов, специально заточенных под новые системы мгновенных платежей. Для быстрого, беспрепятственного вывода украденных средств все чаще будут использоваться мобильные банковские троянцы.

3. Системы автоматического перевода (ATS) будут использоваться по всему миру

   Мобильные системы автоматического перевода (ATS) — это относительно новый метод, при котором банковский зловред совершает транцзакции, как только пользователь входит в банковское приложение. Сейчас ATS встречается лишь в нескольких семействах бразильских вредоносных программ, но по мере распространения мобильного банкинга и A2A-платежей они будут появляться и в других странах. С помощью ATS мобильные банковские троянцы смогут быстро выводить деньги со счетов пользователей, что сделает их популярными и за пределами Бразилии. Таким образом, киберпреступники по всему миру смогут использовать эти системы для получения финансовой выгоды.

4. Бразильские банковские троянцы снова в тренде

   Многие киберпреступники из Восточной Европы в последнее время переключились на шифровальщики, отказавшись от зловредов для онлайн-банкинга. Освободившуюся нишу могут занять бразильские банковские троянцы. Некоторые семейства, например Grandoreiro, уже активны по всему миру — от них пострадали более 900 банков в 40 странах. Эти и другие семейства будут активно распространяться по миру, претендуя на звание нового ZeuS.

5. Вымогатели будут тщательнее выбирать цели

   Группы вымогателей будут тщательнее отбирать свои цели, чтобы повысить шансы на получение выкупа или потребовать особо крупную сумму. Смена стратегии сделает атаки на финансовые организации более целенаправленными и разрушительными.

6. Больше бэкдоров в пакетах программ с открытым исходным кодом

   Следующий год ознаменуется тревожной тенденцией — в программах с открытым исходным кодом бэкдоры будут встречаться чаще, чем раньше. Киберпреступники будут эксплуатировать уязвимости популярного ПО с открытым исходным кодом, ставя под угрозу безопасность, данные и финансы организаций, которые его используют.

7. Атак нулевого дня станет меньше, а количество уязвимостей первого дня возрастет

   Злоумышленники будут реже полагаться на уязвимости нулевого дня и сосредоточатся на эксплойтах первого дня. Эта тенденция может быть обусловлена уменьшением числа уязвимостей нулевого дня, из-за чего преступникам приходится искать более надежные и доступные методы атак.

8. Преступники будут чаще полагаться на ошибки в конфигурации устройств и сервисов

   Мы считаем, что злоумышленники будут все чаще эксплуатировать ошибки в конфигурации устройств и сервисов, которые делают их общедоступными. Через эти уязвимости преступники смогут получить несанкционированный доступ к системам и запустить атаку.

9. Структура преступных групп станет более гибкой

   Экосистема киберпреступных групп станет более гибкой — ее участники будут переходить из одной группы в другую или работать на несколько групп одновременно. Это затруднит работу правоохранительных органов по отслеживанию злоумышленников и борьбе с киберпреступностью.

10. Злоумышленники будут писать зловреды на непопулярных или кроссплатформенных языках

    Киберпреступники все чаще будут предпочитать менее распространенные кроссплатформенные языки программирования, такие как Golang и Rust, для создания вредоносного ПО и эксплуатации уязвимостей. Иллюстрацией к этому тренду может послужить колумбийский зловред MarioLocker, написанный на Golang. Так или иначе, использование кроссплатформенных языков усложнит обнаружение угроз и противодействие им.

11. Хактивисты станут активнее

    На фоне социально-политических конфликтов возрастет активность хактивистов, чья цель — вывести из строя критическую инфраструктуру и службы. Такие группы представляют серьезную угрозу для финансовых и других организаций, без которых общество не может нормально функционировать.

В 2024 году появятся более комплексные финансовые киберугрозы, отличающиеся большей автоматизацией процессов и настойчивостью злоумышленников. Финансовым учреждениям стоит адаптировать стратегии кибербезопасности к новым условиям, чтобы проактивно решать возможные проблемы, защищая активы и ценные данные. Для эффективной борьбы с растущими рисками в финансовом секторе в следующем году важно наладить сотрудничество между государственными и частными организациями.