Kaspersky Security Bulletin

Угрозы для финансовых организаций: обзор и прогноз на 2019

Ключевые события года

Прошедший год был крайне насыщен событиями в сфере цифровых угроз, связанных с финансовыми институтами: киберпреступные группы использовали новые приемы для проникновения, а география атак стала более обширной. Однако давайте начнем обзор с позитивного тренда: в 2018 году полиция арестовала ряд членов известных киберпреступных групп Carbanak/Cobalt и Fin7. Эти группы отметились атаками на десятки, если не сотни компаний и финансовых организаций по всему миру. Арест членов групп, в том числе и лидера Carbanak, к сожалению, не привел к полному прекращению их деятельности и, по всей видимости, запустил процесс дробления групп на более мелкие ячейки.

Самой активной группой 2018 года оказалась Bluenorof/Lazarus, ее участники постепенно расширяют арсенал средств и выбирают новые цели. В зону их интересов сегодня входят банки, финтех компании, криптовалютные биржи, PoS-терминалы, ATM, а что касается географии – мы регистрировали попытки проникновения в десятках стран, большая часть которых расположена в Азии, Африке и в Латинской Америке.

В конце прошлого года мы отметили, что в зоне повышенного риска находятся молодые финтех компании и криптовалютные биржи, что связано с незрелостью их систем безопасности. Именно эти компании регулярно попадали в новости в связи с киберинцидентами. Наиболее креативной, с нашей точки зрения, была атака AppleJeus, нацеленная на трейдеров криптовалюты. Злоумышленники создали специальное ПО, которое выглядело абсолютно легитимно и обладало полезными функциями, но в определенный момент программа загружала апдейт, который на поверку оказался бэкдором. По сути, это такой новый вид атак через цепочку поставок.

Продолжая тему атак на цепочки поставок, стоит упомянуть группу MageCart, которая с помощью заражения страниц приема платежей, в том числе на сайтах крупных компаний, таких как British Airways, смогла получить доступ к огромному количеству данных платежных карт. Эффективность данной атаки связана с тем, что преступники выбрали интересную цель – Magento, одну из самых популярных платформ для интернет-магазинов. Используя уязвимости в ней, они смогли заразить десятки сайтов. Скорее всего, этим приемом пользуется несколько различных групп, а не только MageCart.

Отдельно стоит отметить развитие зловредов для ATM. За 2018 год специалисты «Лаборатории Касперского» обнаружили шесть новых семейств, и в итоге их стало более 20. Некоторые семейства ATM-зловредов эволюционировали, так, например, Plotus из Южной Америки обновился до новой версии – Peralda – и обзавелся новыми возможностями. Наибольший ущерб, связанный с атаками на банкоматы, вызывали случаи заражения из внутренней сети банка, такие как FASTCash и ATMJackPot, когда злоумышленники могли дотянутся до десятков и сотен ATM.

Отдельно стоят атаки на организации, которые являются клиентами банковских систем. Во-первых, наша система поведенческого анализа, основанная на машинном обучении, обнаружила несколько волн вредоносной активности, связанных с распространением банковского троянца Buhtrap. Тогда злоумышленники смогли внедрить свой код в популярные новостные сайты и форумы. Второй важной историей стало обнаружение атак на финансовые департаменты индустриальных компаний, в которых платежи в сотни тысяч долларов не вызывают особых подозрений. Чаще всего на финальной стадии злоумышленники устанавливают на зараженные компьютеры инструменты удаленного администрирования, такие как RMS, TeamViewer и VNC.

Перед тем как перейти к прогнозам на 2019 год, давайте посмотрим насколько точно сбылись прогнозы, которые мы составили на год уходящий:

  • «Появление атак на банковские системы, построенные на блокчейне, через уязвимости и ошибки в этой технологии» – не сбылось в финансовой области, но сбылось в области онлайн-казино.
  • «Новые инциденты, связанные с проникновением в сеть финансовой организации через взлом поставщиков ПО» — сбылось.
  • «Манипулирование и взломы СМИ и социальных медиа (Twitter, Facebook, каналы Telegram) ради извлечения прибыли из спровоцированных информационными фальшивками рыночных колебаний» — сбылось.
  • «Автоматизация вредоносного ПО для банкоматов» – сбылось. Например, появились вредоносные программы, которые сразу выдают деньги злоумышленникам из самых ценных кассет.
  • «Новые атаки на криптовалютные биржи» — сбылось.
  • «Резкий рост «традиционного» мошенничества с платёжной информацией, спровоцированный массовыми утечками данных в 2017» — не сбылось.
  • «Увеличение количества атак на финансовые организации со стороны спонсируемых государствами группировок хакеров» — сбылось.
  • «Финтех и мобильные пользователи как новая основная цель традиционной киберпреступнности» – сбылось. Так, часть банковских троянцев перестала атаковать пользователей онлайн-банкинга на ПК, но при этом количество мобильных троянцев за последний год выросло более чем в два раза.

Прогнозы 2019

  • Появление новых групп вследствие дробления Cobalt/Carbanak и Fin7: новые группы и новая география

Аресты лидеров и отдельных членов крупных киберпреступных групп не привели к прекращению атак на финансовые институты с их стороны. В следующем году, скорее всего, мы увидим дробление этих групп и создание новых из бывших членов, что приведет к увеличению количества атак и расширению географии потенциальных жертв.

В то же время местные региональные группы будут расширять свою деятельность, улучшая качество и масштабы атак. Разумно предположить, что некоторые члены региональных групп могут связаться с бывшими участниками Fin7 или Cobalt, чтобы облегчить доступ к региональным целям и получить новые инструменты для проведения атак.

  • Первые атаки через кражу и использование биометрических данных

Биометрические системы идентификации и аутентификации пользователей постепенно внедряются различными финансовыми институтами, и при этом уже произошло несколько крупных утечек собранных биометрических данных. Эти два факта являются почвой для появления первых PoC (proof-of-concept) атак на финансовые сервисы с использованием утекших биометрических данных.

  • Появление новых локальных групп, атакующих финансовые институты в Индо-пакистанском регионе, Юго-восточной Азии и Центральной Европе

Активность киберпреступников в этих регионах постоянно растет: этому способствует как незрелость защитных решений в финансовом секторе, так и быстрое распространение различных электронных средств платежей среди населения и компаний. Сейчас созданы все предпосылки для появления нового центра финансовых угроз в Азии, в дополнение к трем существующим сейчас: Латиноамериканскому, Корейскому и экс-СССР.

  • Продолжение атак на небольшие компании, предоставляющие свои услуги для финансовых институтов по всему миру

Этот тренд останется с нами в 2019 году. Атаки на поставщиков ПО доказали свою эффективность и позволили злоумышленникам получить доступ сразу к нескольким серьезным целям. В первую очередь в группе риска небольшие компании, поставщики специализированных финансовых сервисов для крупных игроков, таких как системы перевода денег, банки и биржи, ПО для PoS и ATM.

  • Фокус традиционной киберпреступности на наиболее простых целях и обходе антифрод-решений: атаки на системы приема онлайн-платежей вместо PoS

В следующем году с точки зрения угроз для обычных пользователей и магазинов наиболее сложная ситуация сложится для тех, кто использует банковские карты без чипов и не требует двухфакторной аутентификации для транзакций. Мы видим, что сейчас часть сообщества злоумышленников сфокусировалось на наиболее простых целях, которые легко монетизировать. Это не значит, что они не используют никаких сложных приемов. Например, для обхода антифрод-систем они полностью копируют все системные параметры компьютера и браузера. С другой стороны, такое поведение киберпреступников ведет к тому, что количество атак на PoS-терминалы будет уменьшаться, перемещаясь в плоскость атак на платформы приема онлайн-платежей.

  • Обход систем кибербезопасности финансовых учреждений с использованием физических устройств, подключенных к внутренней сети

Пользуясь недостаточным уровнем физической безопасности и отсутствием контроля подключаемых устройств во многих сетях, киберпреступники будут пытаться подключать к таким сетям компьютер или мини-плату, специально сконфигурированную для перехвата данных и их последующей передачи с использованием 4G/LTE-модема. Такие атаки дадут возможность злоумышленникам получить доступ к различным данным, в том числе к информации о сетевой инфраструктуре и клиентах финансовых учреждений.

  • Юридические лица: атаки на мобильных банкинг

Мобильные приложения для бизнеса набирают популярность, и это, скорее всего, приведет к первым атакам на их пользователей. Инструментов для этого у злоумышленников достаточно, а возможная выгода значительно выше, чем в случае с физическими лицами. Наиболее вероятными векторами атак являются: атаки на уровне Web API и через цепочку поставщиков.

  • Кампании продвинутой социальной инженерии, направленные на персонал компаний, ответственный за денежные переводы

Социальная инженерия особенно популярна в определенных регионах, например, в Латинской Америке. Киберпреступники продолжат атаковать определенных людей в компаниях и финансовых институтах с целью убедить их, что счет на большую сумму денег пришел от бизнес-партнеров или управляющих. Техники, не требующие вредоносных программ для достижения успеха, станут более востребованными в 2019 году. Это же включает и атаки типа «SIM swap»

Угрозы для финансовых организаций: обзор и прогноз на 2019

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

CloudSorcerer: новая APT-угроза, нацеленная на российские государственные организации

«Лаборатория Касперского» обнаружила новую APT-угрозу CloudSorcerer, нацеленную на российские государственные организации и использующую облачные службы в качестве командных серверов аналогично APT CloudWizard.

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике