Wprowadzenie – kluczowe wydarzenia w 2018 r.
Rok 2018 był niezwykle ciekawy jeśli chodzi o zagrożenia cyfrowe dla instytucji finansowych: ugrupowania cyberprzestępcze wykorzystywały nowe techniki infiltracji, a zakres geograficzny ataków uległ rozszerzeniu.
Zacznijmy jednak od pozytywnych informacji: w 2018 r. policja aresztowała wielu znanych członków ugrupowań cyberprzestępczych odpowiedzialnych między innymi za kampanie Carbanak/Cobalt oraz Fin7. Grupy te były zamieszane w ataki na dziesiątki, jeśli nie setki, firm i instytucji finansowych na świecie. Niestety, aresztowanie członków ugrupowania Carbanak, w tym jego lidera, nie położyło kresu jego aktywności – wydaje się, że zainicjowało proces rozbicia grup na mniejsze komórki.
Najaktywniejszym graczem 2018 r. okazał się Lazarus. Ugrupowanie to stopniowo rozszerza swój arsenał narzędzi i poluje na nowe cele. Jego obszar zainteresowania obejmuje obecnie banki, firmy z sektora TechFin, giełdy wymiany kryptowalut, terminale PoS oraz bankomaty. Pod względem zasięgu geograficznego odnotowaliśmy próby infekcji w kilkudziesięciu państwach, z których większość jest zlokalizowana w Azji, Afryce i Ameryce Łacińskiej.
Pod koniec roku zauważyliśmy, że w grupie podmiotów podwyższonego ryzyka znajdują się młode firmy z sektora FinTech oraz giełdy wymiany kryptowalut ze względu na niedojrzałość swoich systemów bezpieczeństwa. To właśnie tego typu firmy były atakowane najczęściej. Na miano najbardziej kreatywnego ataku w 2018 r. zasłużył według nas AppleJeus, którego cel stanowili handlarze kryptowalutą. W ramach tego ataku cyberprzestępcy stworzyli specjalne oprogramowanie, które wyglądało na legalne i wykonywało legalne funkcje. Jednak program ten przesyłał również szkodliwą aktualizację, która okazała się backdoorem. Jest to nowy rodzaj ataku, w którym ofiary są infekowane za pośrednictwem łańcucha dostaw.
W związku z tematem ataków na łańcuch dostaw warto wspomnieć o ugrupowaniu MageCart, które zdołało uzyskać dostęp do ogromnej ilości danych dotyczących kart płatniczych, infekując strony płatności na witrynach internetowych (w tym należących do dużych firm takich jak British Airways). Skuteczność tego ataku była tym większa, że przestępcy wybrali interesujący cel - Magento, który stanowi jedną z najpopularniejszych platform dla sklepów internetowych. Wykorzystując luki w zabezpieczeniach Magento, cyberprzestępcy zdołali zainfekować dziesiątki stron przy pomocy techniki, która może zostać wykorzystana przez wiele innych grup.
Należy również wspomnieć o rozwoju rodzin szkodliwego oprogramowania dla bankomatów. W 2018 r. specjaliści z Kaspersky Lab wykryli sześć nowych rodzin takich szkodników, co zwiększa ich liczbę do ponad 20. Niektóre z tych rodzin ewoluowały: np. szkodnik Plotus z Ameryki Łacińskiej został uaktualniony do nowej wersji, Peralda, zyskując nową funkcjonalność. Największe szkody związane z atakami na bankomaty były spowodowane infekcjami, których źródło stanowiły wewnętrzne sieci bankowe, takie jak FASTCash oraz ATMJackPot. To właśnie one pozwoliły osobom atakującym uderzyć w tysiące bankomatów.
W 2018 roku miały również miejsce ataki na organizacje wykorzystujące systemy bankowe. Nasz oparty na uczeniu maszynowym system analizy zachowania wykrył kilka fal szkodliwej aktywności związanej z rozprzestrzenianiem się trojana bankowego Buhtrap (osoby atakujące osadziły swój kod w popularnych serwisach informacyjnych oraz forach). Ponadto wykryliśmy ataki na działy finansowe w firmach przemysłowych, w których płatności na kwotę setek tysięcy dolarów nie są czymś, co może obudzić podejrzenia. Na ostatnich etapach takich ataków osoby atakujące często instalują na zainfekowanych komputerach narzędzia zdalnej administracji, takie jak RMS, TeamViewer czy VNC.
Zanim przedstawimy nasze prognozy na 2019 roku, sprawdźmy, jak trafne okazały się nasze prognozy na 2018 rok…
Prognozy dotyczące 2019 r.
Aresztowanie liderów oraz poszczególnych członków głównych ugrupowań cyberprzestępczych nie powstrzymało ich przed atakowaniem instytucji finansowych. W przyszłym roku ugrupowania te prawdopodobnie ulegną fragmentaryzacji, a ich byli członkowie stworzą nowe, co spowoduje intensyfikację ataków oraz wzrost zasięgu geograficznego potencjalnych ofiar.
Jednocześnie, swoje działania rozwiną ugrupowania lokalne, zwiększając ich jakość oraz skalę. Nie jest wykluczone, że niektórzy członkowie regionalnych grup skontaktują się z byłymi członkami ugrupowania Fin7 lub Cobalt w celu ułatwienia im dostępu do celów regionalnych i uzyskania nowych narzędzi, przy pomocy których będą mogli przeprowadzić ataki.
Systemy biometryczne służące do identyfikacji i uwierzytelniania użytkowników są stopniowo implementowane przez różne instytucje finansowe. Kilka poważnych wycieków danych biometrycznych miało już miejsce. Te dwa fakty mogą prowadzić do pojawienia się pierwszych ataków w ramach PoC (weryfikacji koncepcji) na serwisy finansowe z wykorzystaniem danych biometrycznych, które uległy wyciekowi.
Aktywność cyberprzestępców w tych regionach jest coraz większa: sprzyja temu brak dojrzałości rozwiązań zabezpieczających w sektorze finansowym oraz szybkie rozpowszechnianie się różnych elektronicznych sposobów płatności wśród ludności i firm w tych regionach. Spełnione zostały już wszystkie warunki niezbędne do wyłonienia się w Azji nowego centrum zagrożeń finansowych (po Ameryce Łacińskiej, półwyspie koreańskim i byłym Związku Radzieckim).
Trend ten przetrwa do 2019 roku. Ataki na dostawców oprogramowania okazały się skuteczne i umożliwiły osobom atakującym uzyskanie dostępu do znaczących celów. Na pierwszym miejscu zagrożone będą małe firmy (świadczące specjalistyczne usługi finansowe większym graczom), takie jak dostawcy systemów transferów pieniężnych, banki oraz giełdy.
W przyszłym roku, jeśli chodzi o zagrożenia dla zwykłych użytkowników i sklepów, w grupie najwyższego ryzyka znajdą się ci, którzy używają kart bez mikroukładu (chip) i nie stosują uwierzytelnienia dwuskładnikowego dla transakcji. Społeczność cyberprzestępcza skupiła się na kilku prostych „celach ataków”, na których można łatwo zarobić. Nie oznacza to jednak, że cyberprzestępcy zrezygnowali ze złożonych technik. Na przykład, w celu obejścia systemów zabezpieczających przed oszustwami kopiują oni wszystkie ustawienia systemowe komputera i przeglądarki. Z drugiej strony, takie zachowanie spowoduje spadek liczby ataków na terminale PoS, a cyberprzestępcy skoncentrują się zamiast tego na atakach przeprowadzanych na platformy płatności onlie.
Ze względu na brak ochrony fizycznej w wielu sieciach oraz brak kontroli nad urządzeniami połączonymi z Internetem cyberprzestępcy będą aktywniej wykorzystywać sytuacje, w których możliwe jest zainstalowanie komputera lub mini-płyty, specjalnie skonfigurowanej w celu kradzieży danych z sieci oraz przesyłania informacji przy użyciu modemów 4G/LTE.
Tego typu ataki umożliwią cybergangom dostęp do różnych danych, w tym informacji dotyczących klientów instytucji finansowych, jak również infrastruktury sieciowej instytucji finansowych.
Rośnie popularność aplikacji mobilnych dla biznesu. To prawdopodobnie spowoduje pojawienie się pierwszych ataków na użytkowników takich aplikacji. Istnieją wystarczające narzędzia, które mogą być wykorzystywane do tego celu, a potencjalne straty poniesione przez firmy znacznie przewyższą straty poniesione w przypadku atakowania indywidualnych użytkowników. Najbardziej prawdopodobne wektory ataków obejmują ataki na poziomie Web API oraz za pośrednictwem łańcucha dostaw.
Socjotechnika jest szczególnie popularna w niektórych regionach, np. w Ameryce Łacińskiej. Cyberprzestępcy nieustannie biorą na celownik określone osoby w firmach oraz instytucjach finansowych, nakłaniając je do przelania im dużych kwot. Ze względu na dużą ilość wycieków danych w poprzednich latach tego rodzaju ataki stają się skuteczniejsze, ponieważ cyberprzestępcy potrafią wykorzystywać wewnętrzne, upublicznione informacje dotyczące atakowanych organizacji, aby przydać swoim wiadomościom znamiona legalności. Główna zasada jest zawsze taka sama: przekonują swoje cele, że dane polecenie finansowe pochodzi od partnerów biznesowych lub dyrektorów. Techniki te w ogóle nie wykorzystują szkodliwego oprogramowania, pokazują jednak, w jaki sposób ukierunkowana socjotechnika przynosi efekty oraz stanie się potężniejszym narzędziem w 2019 r. Obejmuje to takie ataki jak „simswap”.
Analizy
Blog