Финансовые киберугрозы и crimeware в 2025 году

Эксперты GReAT (Глобального центра исследований и анализа угроз) «Лаборатории Касперского» постоянно отслеживают киберугрозы, направленные на финансовый сектор, где больше всего атак приходится на банки и финтехкомпании. Мы также внимательно следим за угрозами, нацеленными на более широкий круг отраслей, особенно за семействами шифровальщиков, распространяемых ради финансовой выгоды.

Эти наблюдения, изложенные в нашем обзоре Kaspersky Security Bulletin, помогают спрогнозировать, как будет меняться ситуация с финансовыми киберугрозами в течение года. В этом отчете мы описали ключевые тенденции и ожидаемые виды атак, чтобы помочь организациям и частным лицам лучше к ним подготовиться. Сначала вспомним наши прогнозы на 2024 год, чтобы понять, какие из них оправдались, изучим ключевые события в сфере финансовых киберугроз за год, а затем попытаемся предсказать тенденции на 2025 год.

Насколько были точны прогнозы на 2024 год?

1. Вырастет число атак с использованием ИИ

   ✅ Да

   Прогноз о росте числа кибератак с применением машинного обучения оправдался. В 2024 году мы видели разные кибератаки с использованием искусственного интеллекта. Его применяли не только для рассылок, поддельной рекламы и фишинга (около 21% фишинговых писем теперь генерируется с помощью ИИ), но и для обхода биометрической аутентификации. Инструменты машинного обучения позволяют мошенникам создавать новые учетные записи на основе утекших данных, выдавать себя за жертв и обходить механизмы безопасности в процессе KYC (know-your-customer, «знай своего клиента»). С их помощью можно фабриковать фото и видео, менять черты лиц или подменять их целиком и генерировать другие данные. Такие злоумышленники, как Gringo 171, разрабатывают эти инструменты и продают их преступникам, заинтересованным в обходе биометрической аутентификации. К примеру, недавно Федеральная полиция Бразилии арестовала преступников, которые использовали инструменты на базе ИИ для открытия банковских счетов с целью отмывания денег. Они открыли тысячи счетов и легко обходили биометрическую проверку, генерируя лица несуществующих людей.

2. Мошенники будут атаковать системы мгновенных платежей

   ✅ Да

   Прогноз о том, что злоумышленники будут вмешиваться в работу систем мгновенных платежей, таких как PIX, FedNow и UPI, с помощью клипперов и мобильных банковских троянцев, оправдался. Мы стали свидетелями появления в Бразилии банковского троянца GoPIX, нацеленного на платежную систему PIX для проведения транзакций в реальном времени. Этот троянец отслеживает буфер обмена, чтобы подменять ключи и перехватывать платежи. Аналогичная техника применялась в троянце, нацеленном на устройства Android. В других семействах банковских троянцев также появились функции кражи криптовалюты, реализованные через прямые атаки на сайты или перехват буфера обмена пользователя.

   Хотя по состоянию на октябрь 2024 года не было публичных подтверждений случаев мошенничества, напрямую связанных с системой FedNow, опасения о том, что такое возможно, все равно остаются. FedNow, сервис мгновенных платежей Федеральной резервной системы США, позволяет быстро проводить переводы, чем могут воспользоваться мошенники, например применив схему с авторизованным переводом средств (APP).

   В атаке на индийскую систему мгновенных платежей UPI мошенники рассылали спам по идентификаторам UPI со множеством запросов на получение средств. Подобрать идентификатор UPI довольно легко, так как он обычно состоит из номера мобильного телефона пользователя и имени поставщика UPI. Мошенники могут узнать номера телефонов жертв в общедоступных местах, ведь они требуются для онлайн-покупок, в магазинах, ресторанах и т. д. Пользователи получали множество мошеннических запросов UPI на сбор денег и автоплатежей от Netflix, Google Pay и других сервисов. В некоторых случаях это были настоящие запросы автоплатежей UPI, инициированные мошенниками через свои учетные записи Netflix, из-за чего ничего не подозревающий пользователь фактически оплачивает подписку злоумышленника.

   Мы также заметили рост числа поддельных приложений для мгновенных платежей в Латинской Америке, используемых в разных мошеннических схемах. Такие приложения правдоподобно имитируют денежные переводы, показывая поддельные квитанции без реальной связи с платежными системами, обманывая продавцов и втягивая их в незаконные или убыточные сделки. Такие программы продаются на даркнет-форумах и используются мошенниками для совершения фиктивных покупок от имени малого бизнеса.

3. Системы автоматического перевода (ATS) будут использоваться по всему миру

   ☑️ Частично

   Прогноз предполагал, что атаки с использованием мобильных ATS станут глобальной угрозой. Хотя уже существуют мобильные банковские троянцы, использующие ATS, пока они не получили глобального распространения. Одна из групп, которая применяла эту технику в Бразилии и разрабатывала соответствующее семейство зловредов, планировала расширить свои атаки на Европу, запустив тестовую версию вредоносного ПО. Однако до того, как они успели распространить свою разработку, бразильская полиция успела их арестовать по нашей наводке.

   Кроме того, поскольку Google продолжает ограничивать доступ к специальным возможностям в новых версиях Android, мы считаем, что эффективность техники ATS в разрабатываемых мобильных банковских троянцах будет падать, так как для этого нужно включать специальные возможности системы.

4. Бразильские банковские троянцы снова в тренде

   ✅ Да

   Прогноз о том, что атаки с использованием бразильских банковских троянцев станут более масштабными, а Grandoreiro усилит активность, подтвердился. Бразильские банковские троянцы стали глобальной угрозой в 2024 году, нацеленной на множество стран и расширяющей свой охват. Наиболее распространенными семействами 2024 года являются Guildma, Javali, Melcoz и Grandoreiro (группа Tetrade). Другие семейства — Banbra, BestaFera, Bizarro, ChePro, Casbaneiro, Ponteiro и Coyote. Охват семейства Grandoreiro расширился более чем до 1700 банков в 45 странах на всех континентах, чему не помешал даже арест членов группировки. Из 30 крупнейших семейств банковских троянцев, обнаруженных нами, 11 имеют бразильское происхождение, что составляет 22% всех выявленных угроз у наших пользователей в 2024 году (согласно данным KSN с января по октябрь 2024 года).

5. Вымогатели будут тщательнее выбирать цели

   ✅ Да

   Прогноз предполагал, что группы вымогателей будут проводить более целенаправленные и тщательно спланированные атаки. В 2024 году операторы шифровальщиков сосредоточились на более значимых целях, при этом крупные организации с доходом более 5 млрд долларов США продолжают оставаться основными целями из-за высокой вероятности выплаты значительных выкупов. Эта тенденция отражает переход к более целенаправленным атакам на сектор финансовых услуг, особенно на банки, где наблюдается значительный рост инцидентов. Только на банки пришлось 20% всех атак с шифровальщиками в этом секторе. Усредненная сумма требуемого выкупа выросла на 400 000 долларов США с 2023 по 2024 год, что подчеркивает стремление злоумышленников к более высоким выплатам. В то время как опытные операторы шифровальщиков продолжают совершенствовать точечные атаки на высокодоходные организации, другие группы по-прежнему проводят операции более широкого охвата против правительственных учреждений, секторов здравоохранения и образования. Этот двойной подход привел к росту числа инцидентов с шифровальщиками на 21,5% с первого по второй квартал 2024 года и на 4,3% по сравнению с тем же периодом прошлого года. Другими словами, несмотря на выборочный характер атак, шифровальщики остаются широко распространенной угрозой в различных отраслях.

6. Больше бэкдоров в пакетах программ с открытым исходным кодом

   ✅ Да

   Прогноз предсказывал рост числа бэкдоров в пакетах программ с открытым исходным кодом, и это, как мы видим, подтвердилось. Бэкдор XZ стал причиной крупного инцидента, когда он проник в пакеты популярного ПО с открытым исходным кодом, а затем и в дистрибутивы Linux. Мы провели обширный анализ этого бэкдора здесь, здесь и здесь. К сожалению, это был не единичный случай — в этом году было много других подобных инцидентов.

7. Атак нулевого дня станет меньше, а количество уязвимостей первого дня возрастет

   ❌ Нет

   Прогноз, что операторы crimeware перейдут от эксплойтов нулевого дня к эксплойтам первого дня в 2024 году, оказался неверным. Последние тенденции показывают, что зависимость от уязвимостей нулевого дня остается высокой и даже растет. По данным CVE.org, за весь 2023 год в их каталог была внесена 28 961 уязвимость, а к ноябрю 2024 года — рекордные 29 004.

   Согласно аналитическому отчету Rapid7 за 2024 год, использование эксплойтов нулевого дня значительно возросло: 53% часто эксплуатируемых CVE первоначально были атаками нулевого дня, и эта тенденция наблюдается в последние два года. Такое внимание к эксплойтам нулевого дня объясняется сложностью и тщательной организацией недавних атак: 23% широко распространенных угроз CVE были связаны с очень опасными уязвимостями нулевого дня. Коммерческий рынок эксплойтов нулевого дня тоже расширился: брокеры предлагают большие суммы, например до 2 млн долларов США за эксплойты нулевого дня для iPhone. Напротив, нет никаких доказательств роста популярности эксплойтов первого дня среди crimeware-злоумышленников, что подчеркивает, что атаки нулевого дня остаются основной тактикой в сфере киберугроз.

8. Преступники будут чаще полагаться на ошибки в конфигурации устройств и сервисов

   ✅ Да

   Прогноз о росте использования неправильно настроенных устройств и служб подтвердился в 2024 году, что показала операция EMERALDWHALE. Эта глобальная кампания была направлена на неправильно настроенные экземпляры Git, в результате чего было украдено более 15 000 учетных данных облачных служб и получен несанкционированный доступ более чем к 10 000 частных репозиториев. Последствия были серьезными — пострадали различные сервисы, в том числе поставщики облачных служб и почтовые платформы, что подчеркивает распространенность уязвимостей, вызванных неправильной настройкой. Злоумышленники применили недоступные широкой публике автоматизированные инструменты для сканирования, извлечения и проверки украденных токенов из неправильно настроенных служб, что увеличило их охват и эффективность. Широкая эксплуатация неправильных настроек также позволила выявить факт хранения конфиденциальных данных в файлах конфигурации, таких как .env в Laravel, и обнажить уязвимости в облачных хранилищах, включая скомпрометированное хранилище Amazon S3, которое содержало более терабайта конфиденциальной информации.

9. Структура преступных групп станет более гибкой

   ✅ Да

   Прогноз о том, что группы злоумышленников станет все сложнее разграничивать, оказался точным. В 2024 году экосистема шифровальщиков стала более гибкой и адаптируемой, поскольку участники различных групп активны на нескольких платформах одновременно. Многие злоумышленники сейчас работают с несколькими семействами шифровальщиков, что позволяет им оптимизировать операции и снизить риски, связанные с зависимостью от одной группы. Исследователи кибербезопасности отмечают переход операторов из таких групп, как BlackMatter, в новые, например RansomHub. Этот стратегический подход позволяет злоумышленникам постоянно проводить атаки с применением различных шифровальщиков в зависимости от жертвы, потенциальной суммы выкупа и текущего состояния конкретной платформы (RaaS). Фрагментация среди шифровальщиков очевидна: число групп, составляющих свои списки жертв, выросло с 43 до 68, и только за последний год появилась 31 новая группа. Такая децентрализация затрудняет работу правоохранительных органов, так как отслеживание и сдерживание этих групп становится все сложнее из-за их гибкой структуры и международного охвата. Небольшие группы, такие как Medusa и Cloak, вовсю пользуются гибкостью в этой сфере и привлекают партнеров через даркнет, предлагая делить прибыль от совместных операций. Например, Medusa предлагает 90% прибыли для привлечения участников, а Cloak позволяет новым операторам вступить в группу бесплатно. Кроме того, уже известные платформы продолжают заманивать опытных операторов новыми предложениями.

10. Злоумышленники будут писать зловреды на непопулярных или кроссплатформенных языках

    ✅ Да

    Прогноз предполагал, что злоумышленники будут чаще применять менее известные языки программирования, чтобы избежать обнаружения. Возникло множество угроз, связанных с разработкой вредоносных программ на новых или нестандартных языках программирования. В операциях применяются такие инструменты, как KrustyLoader (загрузчик на Rust), а также NKAbuse и K4Spreader (загрузчик на Golang, используемый 8220 Gang). Кроме того, мы столкнулись со шпионскими троянцами, банковскими троянцами и другими зловредами, написанными на языке Go. Это явный признак того, что разработчики вредоносных программ выбирают эти языки не только из-за их удобства и совместимости с разными ОС, но и потому, что они усложняют анализ.

11. Хактивисты станут активнее

    ✅ Да

    Прогноз о росте активности хактивистских групп из-за глобальных конфликтов оправдался. Сцена хактивистов стала более многочисленной и мощной. Появление новых группировок по всему миру и рост конфликтов создают благоприятные условия для хактивизма. Хактивистская группа CiberInteligenciaSV из Сальвадора, образовавшаяся в начале 2024 года, может публиковать до двух-трех утечек данных в день. Также существует альянс под названием The Five Families, включающий две хактивистские группы — SiegedSec и GhostSec. Они продолжают атаковать критически важную инфраструктуру, такую как ICS/SCADA и спутниковые приемники GNSS, в разных странах, особенно в регионах конфликтов, связанных с текущими геополитическими событиями.

Прогнозы по crimeware на 2025 год

1. Всплеск активности стилеров

   Информация, полученная через атаки с использованием стилеров, приведет к росту преступности как в физической, так и в цифровой форме. Lumma, Vidar, RedLine и другие стилеры не исчезнут, несмотря на все усилия правоохранительных органов, их операторы адаптируются и внедрят новые техники. Появятся новые семейства стилеров.

2. Атаки на центральные банки и механизмы открытого банкинга

   Центральные банки отвечают за внедрение и эксплуатацию систем мгновенных платежей, цифровых валют (CBDC), обмен гигабайтами данных между финансовыми организациями через механизмы открытого банкинга и другие задачи. Это делает их привлекательной целью для злоумышленников. Системы открытого банкинга в основном используют API для обмена данными. Такие API могут быть уязвимы, если злоумышленники скомпрометируют конечные устройства, обращающиеся к ним, чтобы получить несанкционированный доступ к конфиденциальной информации. Мы ожидаем, что количество атак на центральные банки и API открытого банкинга значительно вырастет в этом году.

3. Рост атак на цепочку поставок в проектах с открытым исходным кодом

   После инцидента с бэкдором XZ сообщество разработчиков проектов с открытым исходным кодом стало более внимательно проверять каждый коммит. Повышенная бдительность, вероятно, поможет обнаружить как новые попытки, так и старые бэкдоры, внедренные через вредоносные коммиты. Кроме того, высокая вероятность успеха таких атак и их обширное воздействие будут способствовать популярности этой тактики.

4. Новые угрозы на основе блокчейна

   Внедрение блокчейна в новых технологиях и рост популярности криптовалюты в качестве платежного средства создают благоприятные условия для угроз, связанных с блокчейном. Новые протоколы, появившиеся в связи с необходимостью создания безопасных частных сетей на основе одноранговых и блокчейн-сетей, поспособствуют распространению и улучшению функциональности вредоносного ПО. Также этому сопутствует рост популярности современных языков программирования, таких как Go и Rust, на которых все чаще разрабатываются SDK блокчейн-протоколов, и мы ожидаем, что эти языки будут все чаще использоваться для разработки зловредов.

5. Распространение китайского crimeware по всему миру

   Мы стали свидетелями появления нескольких семейств crimeware китайского происхождения, которые раньше атаковали только в Азии, а теперь переключились на пользователей в Европе и Латинской Америке. Эти атаки в основном осуществляются через банковские троянцы для Android и фишинговые кампании, направленные на клонирование кредитных карт. С другой стороны, нам встречались и более продвинутые атаки, например DinodasRAT. Мы ожидаем дальнейшего расширения crimeware китайского происхождения на новые страны и рынки, при этом повысится частота и разнообразие атак.

6. Искусственная порча данных с помощью шифровальщиков

   Шифровальщики будут изменять данные жертв или вводить ошибочные данные в целевые инфраструктуры, а не только шифровать их. Техника «отравления данных» сделает восстановление исходных данных предприятия невозможным или значительно усложнит его, даже после расшифровки.

7. Квантово-устойчивые шифровальщики

   Разработчики и операторы продвинутых шифровальщиков будут переходить на постквантовую криптографию по мере развития квантовых вычислений. Методы, используемые «квантово-устойчивым» шифровальщиком, будут защищать данные от расшифровки как классическими, так и квантовыми компьютерами, что сделает восстановление без уплаты выкупа практически невозможным.

8. «Нормативный» шантаж в атаках шифровальщиков

   Злоумышленники будут изучать нормативные требования компании и целенаправленно шифровать или изменять данные таким образом, чтобы спровоцировать серьезные отклонения от нормативов. Затем злоумышленники могут оказать на жертву дополнительное финансовое и юридическое давление, угрожая доложить о нарушениях в регулирующие органы, если их требования не будут выполнены.

9. Распространение модели «шифровальщик как услуга» (RaaS)

   Модель RaaS будет и дальше облегчать злоумышленникам задачи планирования и проведения атак. Менее опытные участники смогут проводить сложные атаки, заплатив всего лишь 40 долларов США за набор инструментов, что приведет к увеличению числа инцидентов.

10. Больше искусственного интеллекта и машинного обучения в системах безопасности

    Уже сейчас многие решения по кибербезопасности используют искусственный интеллект для устранения распространенных уязвимостей, таких как ошибки конфигурации, обработка предупреждений и другие задачи. В будущем ИИ будет все чаще использоваться в киберзащите для ускоренного обнаружения аномалий, сокращения времени анализа с помощью прогнозирования, автоматизации ответных действий и усиления мер по противодействию новым угрозам. ИИ поможет ускорить обнаружение и усилить защиту от новых угроз. На этот переход также указывает рост числа приложений машинного обучения, которые в реальном времени перестраивают киберзащиту, улучшая ее адаптивность и сокращая потребность в ручной работе. Поскольку злоумышленники также внедряют искусственный интеллект, защитникам предстоит разрабатывать не менее продвинутые и адаптивные стратегии.

11. Рост числа финансовых кибератак через смартфоны

    Мы отмечаем снижение числа атак с использованием традиционных банковских или финансовых вредоносных программ для компьютеров, а количество финансовых киберугроз для смартфонов возросло. В 2024 году количество пользователей, столкнувшихся с мобильными финансовыми угрозами, увеличилось вдвое (на 102%) по сравнению с 2023 годом. Мы ожидаем, что это число продолжит расти, привлекая внимание злоумышленников и вызывая беспокойство у потенциальных жертв.