Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Cyberzagrożenia dla instytucji finansowych w 2019 r.: przegląd i prognozy

Tagi:

Wprowadzenie – kluczowe wydarzenia w 2018 r.

Rok 2018 był niezwykle ciekawy jeśli chodzi o zagrożenia cyfrowe dla instytucji finansowych: ugrupowania cyberprzestępcze wykorzystywały nowe techniki infiltracji, a zakres geograficzny ataków uległ rozszerzeniu.

Zacznijmy jednak od pozytywnych informacji: w 2018 r. policja aresztowała wielu znanych członków ugrupowań cyberprzestępczych odpowiedzialnych między innymi za kampanie Carbanak/Cobalt oraz Fin7. Grupy te były zamieszane w ataki na dziesiątki, jeśli nie setki, firm i instytucji finansowych na świecie. Niestety, aresztowanie członków ugrupowania Carbanak, w tym jego lidera, nie położyło kresu jego aktywności – wydaje się, że zainicjowało proces rozbicia grup na mniejsze komórki.

Najaktywniejszym graczem 2018 r. okazał się Lazarus. Ugrupowanie to stopniowo rozszerza swój arsenał narzędzi i poluje na nowe cele. Jego obszar zainteresowania obejmuje obecnie banki, firmy z sektora TechFin, giełdy wymiany kryptowalut, terminale PoS oraz bankomaty. Pod względem zasięgu geograficznego odnotowaliśmy próby infekcji w kilkudziesięciu państwach, z których większość jest zlokalizowana w Azji, Afryce i Ameryce Łacińskiej.  

Pod koniec roku zauważyliśmy, że w grupie podmiotów podwyższonego ryzyka znajdują się młode firmy z sektora FinTech oraz giełdy wymiany kryptowalut ze względu na niedojrzałość swoich systemów bezpieczeństwa. To właśnie tego typu firmy były atakowane najczęściej. Na miano najbardziej kreatywnego ataku w 2018 r. zasłużył według nas AppleJeus, którego cel stanowili handlarze kryptowalutą. W ramach tego ataku cyberprzestępcy stworzyli specjalne oprogramowanie, które wyglądało na legalne i wykonywało legalne funkcje. Jednak program ten przesyłał również szkodliwą aktualizację, która okazała się backdoorem. Jest to nowy rodzaj ataku, w którym ofiary są infekowane za pośrednictwem łańcucha dostaw.      

W związku z tematem ataków na łańcuch dostaw warto wspomnieć o ugrupowaniu MageCart, które zdołało uzyskać dostęp do ogromnej ilości danych dotyczących kart płatniczych, infekując strony płatności na witrynach internetowych (w tym należących do dużych firm takich jak British Airways). Skuteczność tego ataku była tym większa, że przestępcy wybrali interesujący cel - Magento, który stanowi jedną z najpopularniejszych platform dla sklepów internetowych. Wykorzystując luki w zabezpieczeniach Magento, cyberprzestępcy zdołali zainfekować dziesiątki stron przy pomocy techniki, która może zostać wykorzystana przez wiele innych grup.  

Należy również wspomnieć o rozwoju rodzin szkodliwego oprogramowania dla bankomatów. W 2018 r. specjaliści z Kaspersky Lab wykryli sześć nowych rodzin takich szkodników, co zwiększa ich liczbę do ponad 20. Niektóre z tych rodzin ewoluowały: np. szkodnik Plotus z Ameryki Łacińskiej został uaktualniony do nowej wersji, Peralda, zyskując nową funkcjonalność. Największe szkody związane z atakami na bankomaty były spowodowane infekcjami, których źródło stanowiły wewnętrzne sieci bankowe, takie jak FASTCash oraz ATMJackPot. To właśnie one pozwoliły osobom atakującym uderzyć w tysiące bankomatów.    

W 2018 roku miały również miejsce ataki na organizacje wykorzystujące systemy bankowe. Nasz oparty na uczeniu maszynowym system analizy zachowania wykrył kilka fal szkodliwej aktywności związanej z rozprzestrzenianiem się trojana bankowego Buhtrap (osoby atakujące osadziły swój kod w popularnych serwisach informacyjnych oraz forach). Ponadto wykryliśmy ataki na działy finansowe w firmach przemysłowych, w których płatności na kwotę setek tysięcy dolarów nie są czymś, co może obudzić podejrzenia. Na ostatnich etapach takich ataków osoby atakujące często instalują na zainfekowanych komputerach narzędzia zdalnej administracji, takie jak RMS, TeamViewer czy VNC.      

Zanim przedstawimy nasze prognozy na 2019 roku, sprawdźmy, jak trafne okazały się nasze prognozy na 2018 rok…

  • Ataki za pośrednictwem technologii blockchain systemów finansowych implementowanych przez same instytucje finansowe – prognoza ta nie sprawdziła się w sektorze finansowym, jednak tego typu ataki obserwowaliśmy w sektorze kasyn online.
  • Więcej ataków na łańcuch dostaw w świecie finansowym – tak
  • Ataki na środki masowego przekazu (ogólnie, w tym na konta na Twitterze, Facebooku, na kanałach telegram i innych) w tym ataki hakerskie i manipulacje w celu uzyskania korzyści finansowych za pośrednictwem handlu na giełdach papierów wartościowych/kryptowalut – tak
  • Automatyzacja szkodliwego oprogramowania dla bankomatów – tak. Istnieją na przykład szkodliwe programy, które umożliwiają osobom atakującym bezpośrednie zdobycie pieniędzy.
  • Więcej ataków na platformy giełd wymiany kryptowalut – tak
  • Wzrost liczby tradycyjnych oszustw przy użyciu karty kredytowej z powodu ogromnej skali incydentów naruszenia bezpieczeństwa danych, jakie miały miejsce w poprzednim roku – nie
  • Więcej ataków sponsorowanych przez rządy na instytucje finansowe – tak
  • Ataki skoncentrowane jedynie na użytkownikach technologii finansowych oraz urządzeń mobilnych: spadek liczby tradycyjnych trojanów bankowych zorientowanych na komputery PC przy jednoczesnym wyłonieniu się nowego głównego celu przestępców – debiutujących użytkowników bankowości mobilnej – tak. Niektóre trojany bankowe przestały atakować użytkowników bankowości online na komputerach PC, a liczba trojanów atakujących użytkowników urządzeń mobilnych zwiększyła się ponad dwukrotnie w ciągu ostatniego roku.

Prognozy dotyczące 2019 r.

  • Pojawienie się nowych ugrupowań w wyniku fragmentacji Cobalt/Carbnal oraz Fin7: nowe ugrupowania i nowy zasięg geograficzny

Aresztowanie liderów oraz poszczególnych członków głównych ugrupowań cyberprzestępczych nie powstrzymało ich przed atakowaniem instytucji finansowych. W przyszłym roku ugrupowania te prawdopodobnie ulegną fragmentaryzacji, a ich byli członkowie stworzą nowe, co spowoduje intensyfikację ataków oraz wzrost zasięgu geograficznego potencjalnych ofiar.

Jednocześnie, swoje działania rozwiną ugrupowania lokalne, zwiększając ich jakość oraz skalę. Nie jest wykluczone, że niektórzy członkowie regionalnych grup skontaktują się z byłymi członkami ugrupowania Fin7 lub Cobalt w celu ułatwienia im dostępu do celów regionalnych i uzyskania nowych narzędzi, przy pomocy których będą mogli przeprowadzić ataki.

  • Pierwsze ataki w wyniku kradzieży i wykorzystania danych biometrycznych

Systemy biometryczne służące do identyfikacji i uwierzytelniania użytkowników są stopniowo implementowane przez różne instytucje finansowe. Kilka poważnych wycieków danych biometrycznych miało już miejsce. Te dwa fakty mogą prowadzić do pojawienia się pierwszych ataków w ramach PoC (weryfikacji koncepcji) na serwisy finansowe z wykorzystaniem danych biometrycznych, które uległy wyciekowi.

  • Pojawienie się nowych lokalnych grup atakujących instytucje finansowe w regionie Indyjsko-Pakistańskim, Azji Południowo-Wschodniej oraz Europie Środkowej.

Aktywność cyberprzestępców w tych regionach jest coraz większa: sprzyja temu brak dojrzałości rozwiązań zabezpieczających w sektorze finansowym oraz szybkie rozpowszechnianie się różnych elektronicznych sposobów płatności wśród ludności i firm w tych regionach. Spełnione zostały już wszystkie warunki niezbędne do wyłonienia się w Azji nowego centrum zagrożeń finansowych (po Ameryce Łacińskiej, półwyspie koreańskim i byłym Związku Radzieckim).   

  • Ciąg dalszy ataków na łańcuch dostaw: ataki na małe firmy, które świadczą swoje usługi instytucjom finansowym na całym świecie

Trend ten przetrwa do 2019 roku. Ataki na dostawców oprogramowania okazały się skuteczne i umożliwiły osobom atakującym uzyskanie dostępu do znaczących celów. Na pierwszym miejscu zagrożone będą małe firmy (świadczące specjalistyczne usługi finansowe większym graczom), takie jak dostawcy systemów transferów pieniężnych, banki oraz giełdy.

  • Tradycyjna cyberprzestępczość skoncentruje się na najłatwiejszych celach i obchodzeniu rozwiązań zabezpieczających przed oszustwami: ataki na punkty sprzedaży (PoS) zostaną zastąpione atakami na systemy akceptujące płatności online 

W przyszłym roku, jeśli chodzi o zagrożenia dla zwykłych użytkowników i sklepów, w grupie najwyższego ryzyka znajdą się ci, którzy używają kart bez mikroukładu (chip) i nie stosują uwierzytelnienia dwuskładnikowego dla transakcji. Społeczność cyberprzestępcza skupiła się na kilku prostych „celach ataków”, na których można łatwo zarobić. Nie oznacza to jednak, że cyberprzestępcy zrezygnowali ze złożonych technik. Na przykład, w celu obejścia systemów zabezpieczających przed oszustwami kopiują oni wszystkie ustawienia systemowe komputera i przeglądarki. Z drugiej strony, takie zachowanie spowoduje spadek liczby ataków na terminale PoS, a cyberprzestępcy skoncentrują się zamiast tego na atakach przeprowadzanych na platformy płatności onlie.   

  • Cyberprzestępcy będą obchodzić systemy cyberbezpieczeństwa instytucji finansowych przy użyciu urządzeń fizycznych połączonych z wewnętrzną siecią

Ze względu na brak ochrony fizycznej w wielu sieciach oraz brak kontroli nad urządzeniami połączonymi z Internetem cyberprzestępcy będą aktywniej wykorzystywać sytuacje, w których możliwe jest zainstalowanie komputera lub mini-płyty, specjalnie skonfigurowanej w celu kradzieży danych z sieci oraz przesyłania informacji przy użyciu modemów 4G/LTE.   

Tego typu ataki umożliwią cybergangom dostęp do różnych danych, w tym informacji dotyczących klientów instytucji finansowych, jak również infrastruktury sieciowej instytucji finansowych.

  • Ataki na bankowość mobilną dla użytkowników biznesowych

Rośnie popularność aplikacji mobilnych dla biznesu. To prawdopodobnie spowoduje pojawienie się pierwszych ataków na użytkowników takich aplikacji. Istnieją wystarczające narzędzia, które mogą być wykorzystywane do tego celu, a potencjalne straty poniesione przez firmy znacznie przewyższą straty poniesione w przypadku atakowania indywidualnych użytkowników. Najbardziej prawdopodobne wektory ataków obejmują ataki na poziomie Web API oraz za pośrednictwem łańcucha dostaw.  

  • Zaawansowane kampanie wykorzystujące socjotechnikę, których celem są operatorzy, sekretarki oraz inni pracownicy odpowiedzialni za przelewy: skutek wycieków danych

Socjotechnika jest szczególnie popularna w niektórych regionach, np. w Ameryce Łacińskiej. Cyberprzestępcy nieustannie biorą na celownik określone osoby w firmach oraz instytucjach finansowych, nakłaniając je do przelania im dużych kwot. Ze względu na dużą ilość wycieków danych w poprzednich latach tego rodzaju ataki stają się skuteczniejsze, ponieważ cyberprzestępcy potrafią wykorzystywać wewnętrzne, upublicznione informacje dotyczące atakowanych organizacji, aby przydać swoim wiadomościom znamiona legalności. Główna zasada jest zawsze taka sama: przekonują swoje cele, że dane polecenie finansowe pochodzi od partnerów biznesowych lub dyrektorów. Techniki te w ogóle nie wykorzystują szkodliwego oprogramowania, pokazują jednak, w jaki sposób ukierunkowana socjotechnika przynosi efekty oraz stanie się potężniejszym narzędziem w 2019 r. Obejmuje to takie ataki jak „simswap”.