2021 年回顾以及 2022 年展望

本报告首先将分析Kaspersky在 2020 年底所做的预测,看看是否准确。然后将回顾 2021 年与金融行业有关的重大攻击事件。最后,将对 2022 年针对金融的攻击做出一些预测。

第一部分:2021年预测分析

COVID-19 可能会引发大规模的贫困问题,而这必然会转化为更多人诉诸犯罪的情况,包括网络犯罪。我们可能会看到某些经济体崩溃和当地货币暴跌,这将使比特币盗窃更具吸引力。还会出现更多的欺诈,主要针对 BTC,因为这种加密货币是最受欢迎的。

来自巴西银行联合会的数据表明,针对银行客户和银行基础设施的犯罪(例如银行爆炸案)和网络犯罪(网络钓鱼和社会工程攻击)显着增加。当然,这是COVID-19造成经济问题的结果。

此外,比特币在 2020 年结束时的价格约为 28,000 美元,并在 2021 年 1 月迅速升至 40,000 美元。目前,比特币的价值约为 60,000 美元,攻击者开始通过恶意软件监控目标系统的剪贴板,并将资金转移到他们的地址。事实上,从 1 月到 10 月底,Kaspersky发现了 2,300 多个虚假的资源,针对 85,000 名对挖矿感兴趣的潜在加密货币投资者或用户。COVID-19期间封锁对全球经济的影响正在导致新兴市场采用加密货币作为法定货币。

MageCart 攻击针对服务器端。可以看到,依赖客户端攻击 (JavaScript) 的威胁与日俱减,有理由相信此类攻击会转移到服务器端。

MagecartGroup 12 以从网上商城窃取支付信息而闻名,现在使用 PHP Web shell 获得对目标网站的远程管理访问权限,以窃取信用卡数据,而不是使用他们以前喜欢的 JavaScript 代码。一个不是.PNG 格式的文件试图作为“image/png”上传时,会通过将合法的快捷方式图标标签替换为假 .PNG 文件的路径,并在目标网站中加载 PHP web shell。web shell 也更难检测和阻止,因为它将skimmer代码注入到服务器端而不是客户端。

黑客团伙内部运营的重新整合和内在化:网络犯罪市场的主要参与者和那些获得大量利润的人将主要依赖于他们自己的内部开发,减少外包以提高他们的利润。

许多团伙招募了许多附属机构,但这种方法存在人为错误和泄密的潜在问题。为了提高利润并减少对外包的依赖,Revil 等一些团体甚至欺骗了他们的附属公司,添加了一个能够劫持与目标谈判的后门,并拿走了本应支付给附属公司的 70% 的赎金。

Conti Gang 是另一个与其合作伙伴出现问题的团伙,当时一个明显复仇心重的附属机构因为利润分配不公泄露了该团伙的档案。披露的数据包括该组织的 Cobalt Strike 命令和控制服务器 (C2s) 的 IP 地址和一个 113MB 的档案,其中包含许多解释 Conti 如何执行勒索软件攻击的工具和培训材料。

受到经济制裁的国家的APT团伙可能更多地模仿用于网络犯罪活动的勒索软件。他们可能会重用公开可用的代码或从头开始创建自己的活动。

2021 年 4 月,Andariel 团伙试图分发自定义勒索软件。根据韩国金融安全研究所的说法,Andariel 是Lazarus威胁行为者的一个分支。有趣的是,一个受害者被发现在第三阶段payload后感染了勒索软件。该勒索软件样本是由此次攻击背后的参与者定制和开发的。该勒索软件由命令行参数控制,可以在启动时从 C2 或参数中检索加密密钥。

随着勒索运营团伙继续实现利润最大化,在未来应该会继续使用 0-day 漏洞和 N-day 漏洞。攻击团伙将通过购买这些漏洞来进一步扩大攻击规模,提高成功率,并产生更多的利润。

很多使用 N-day 的攻击,例如针对巴西最高法院的攻击,利用了 VMWare ESXI 中的漏洞CVE-2019-5544 和 CVE-2020-3992。此外,许多组织依赖于 VPN 服务器中的漏洞。攻击者使用勒索软件 Cring进行了一系列攻击。卡巴斯基 ICS CERT 对其中一家受攻击企业进行的事件调查显示,他们利用了 FortiGate VPN 服务器中的漏洞 (CVE-2018-13379)。

攻击者还依赖 0-days。最轰动的可能是针对 Kaseya 的攻击事件,利用供应链漏洞(CVE-2021-30116)分发勒索软件。另一个令人印象深刻的攻击也依赖于供应链攻击,是针对计费软件 BillQuick 背后的公司BQE Software,该公司声称在全球拥有 400,000 的用户基础。一个未知的勒索运营团伙利用时间和计费解决方案BillQuick Web Suite中发现的一个 SQL 注入漏洞(CVE-2021-42258),在其目标的网络上部署勒索软件进行持续攻击。

由于这些组织拥有雄厚的资金,他们从无数次攻击中获得了大量的钱,因此可以预测更多的攻击将利用0-day 漏洞和 N-day 漏洞来安装勒索软件。

严厉打击网络犯罪活动。2020 年,OFAC宣布他们将监督向勒索运营组织支付的任意款项。美国网络司令部在选举前暂时关闭了 Trickbot。应该将“持续接触”策略扩展到金融犯罪领域。也可能对那些缺乏打击本国网络犯罪决心的机构、地区甚至国家实施经济制裁。

随着对勒索赎金支付的持续反对,OFAC 明确表示,支付赎金会鼓励未来的勒索软件攻击,如果此类支付违反了美国的制裁禁令,参与者可能会面临 OFAC 制裁的风险。虽然“联邦调查局明白,当企业面临无法运作时,管理者们将评估所有选择,以保护其股东、员工和客户”,但公告强烈建议所有私营公司和公民不要支付赎金或勒索要求,并并建议重点加强防御和恢复措施,以抵御勒索软件的攻击。

《关于促进勒索软件支付的潜在制裁风险的最新咨询》描述了与进行和促进勒索软件支付相关的潜在制裁风险,并提供了美国政府的相关联系方式,包括OFAC。

此外,一项新的草案强制美国企业在支付赎金的48 小时内披露支付信息。《勒索披露法案》将:

要求勒索软件受害者(不包括个人)在支付赎金之日起 48 小时内披露有关赎金支付的信息,包括要求和支付的赎金金额、用于支付赎金的货币类型以及有关勒索软件的任何已知信息要求赎金的实体;

要求国土安全部公开上一年披露的信息,不包括支付赎金实体的身份信息;

要求国土安全部建立个人可以自愿报告赎金支付情况的网站;

要求国土安全部部长对勒索攻击之间的共性以及加密货币促进这些攻击的程度进行研究,并为保护信息系统和加强网络安全提供建议。

美国财政部(US Department of The Treasury)最近批准了两家虚拟货币交易所,这有助于勒索运营团伙处理受害者的付款。早在 2021 年 9 月,SUEX就受到制裁并被指控洗钱。公开资料显示,2021年11月,与上交所直接相连的Chatex也因类似指控受到制裁。

随着监控、去匿名化和扣押BTC 账户的特殊技术现已实现,未来应该可以预见攻击者转而使用传输加密货币来向受害者收费。有理由相信他们可能会转向其他隐私增强型货币,例如门罗币,首先将这些用作过渡货币,然后将资金转换为其他类型的加密货币,包括 BTC。

虽然司法部查获了支付给勒索运营团伙Darkside 的 230 万美元加密货币,其他匿名的加密货币,如 Monero、Dash 或 Zcash,仍然不是攻击团伙的默认选择。随着针对交易所的监管压力越来越大,与那些依靠比特币或以Ethereum进行非法活动的人相比,试图兑现通过加密货币获得的赎金的攻击者可能面临更多困难。即使付款是可溯源的,coin-mixing和coin-launderin服务可以使资金重新输入合法的交易生态系统。门罗币和其他类似的加密货币已从流行的交易所退市。使用它进行交易或简单地交换并不像以前那么容易。

敲诈勒索呈上升趋势。不管怎样,针对金融资产的攻击者将依赖于敲诈勒索。如果不是勒索软件,那就是DDoS,或者二者兼而有之。这对于那些丢失了数据、经历了累死人的数据恢复过程、然后让他们的在线业务瘫痪的公司来说尤其重要。

2021 年出现了两个新的僵尸网络。一月份爆出了攻击Linux设备的恶意软件FreakOut。攻击者利用安装在目标设备上的程序中的几个关键漏洞,包括新发现的 CVE-2021-3007。僵尸网络运营团伙使用受感染的设备进行 DDoS 攻击或挖矿。

攻击者还发现了许多用于放大 DDoS 攻击的新工具。

第一季度最重要的事件是 COVID-19 疫苗接种计划。随着新的人群有资格接种疫苗,相关网站出现中断。例如,1月底,美国明尼苏达州的一个疫苗注册网站因不堪重负而崩溃。

我们已经看到一些像 Egregor(已被捕)这样的团体如何通过大规模的 LAN 打印来敲诈勒索。其他团体则依靠电话、留言,并威胁员工及其家人。

第二部分:2021年重要事件

1、勒索运营团伙被捕

今年,随着勒索攻击的猖獗并成为头条新闻,世界各地的执法部门都加强了与勒索团伙的斗争。2021 年, Egregor 是最活跃的勒索软件家族之一,它从 Sekhmet 重生,Sekhmet又从 Maze 重生,但已被破坏。另一个例子是 REvil,又名 Sodinokibi,它来自 GandCrab,而GandCrab则来自Cerber 。11 月,他们的一些附属机构也被捕。逮捕Yaroslav Vasinskyi和对Yevgeniy Polyanin的指控是国际社会在打击网络犯罪方面进行有效合作的例子。

2、Facebook 事件(4 月数据泄露,10 月数据泄露)

由于Facebook的首席执行官宣布了其新品牌和新使命,该公司的数据泄露可能对其客户构成严重风险。一些公司已经完全虚拟化,账户接管可能会对他们的业务或销售造成严重损害。

我们还了解到 Meta 的目标是巩固人们的生活,在生活的各个方面(包括经济方面)将他们联系起来。例如,这涉及汇款以及其他可能的金融活动。随着客户的纯文本信息被泄露到互联网上,攻击者发现了新的攻击可能性。

3、Android 银行木马正在崛起

今年,我们看到更多 Android 银行木马针对全球用户,尤其是欧洲、拉丁美洲和中东地区。在2021年,RealRAT、COPER、Bian、SMisor、Ubel、TwMobo、BRata和BasBanke等多个恶意软件家族积极瞄准移动用户。其中一些活动伴随着社会工程攻击,在这种情况下,攻击者会打电话给受害者,并在简短的对话后发送一条带有下载链接的特制短信,该链接指向恶意 APK 文件。

第三部分:2022 年预测

1、信息窃取器的兴起和整合

遥测数据显示,2021 年信息窃取器的数量呈指数级增长。鉴于其多样化、低成本和有效性,我们相信这种趋势将持续下去。此外,它甚至可以用作有针对性和更复杂地攻击的收集器。

2、加密货币针对性地攻击

加密货币业务继续增长,人们将继续在这个市场上投资,因为它是一种数字资产,所有交易都在网上进行。它还为用户提供匿名服务。这些都是攻击团伙无法抗拒的诱惑。

不仅是网络犯罪团伙,还有国家支持的黑客组织也已经开始瞄准这个行业。孟加拉银行劫案后,BlueNoroff 团伙仍在针对加密货币业务,我们预计这一活动还将继续。

3、更多与加密货币相关的威胁:硬钱包、智能合约攻击、DeFi 黑客等等

虽然在一些地区加密货币已经被禁止,但在其他地区它已经得到了官方的认可和接受。这不仅仅是萨尔瓦多的问题。例如,迈阿密市长宣布,该市计划开始使用加密货币向居民支付工资,他在Twitter上表示,他的工资将100%以比特币支付。

虽然有些人认为投资加密货币有风险,但那些人意识到,他们的钱包是最薄弱的一环。虽然大多数信息窃取器可以轻松窃取本地存储的钱包,但基于云计算的钱包也容易受到攻击,资金有损失的风险。还有基于硬件的加密货币钱包。但问题是,是否有足够可靠和透明的安全评估来证明它们是安全的?

在对加密货币投资机会的争夺中,我们认为攻击者将通过伪造和出售带有后门的流氓设备,然后通过社会工程攻击和其他方法窃取目标的资产。

4、有针对性的勒索软件——更具针对性和区域性

随着国际上打击主要目标勒索运营团伙的努力,我们将看到专注于某一区域目标的小型区域衍生组织的增加。

5、在更多国家/地区采用开放银行可能会导致更多网络攻击

英国是先驱,但现在许多国家都在采用它。由于大多数开放银行系统都基于由金融机构执行的 API 和 Web API 查询,因此我们可以预测会有更多针对它们的攻击,正如 Gartner 所指出的:“到 2022 年,API 滥用将从不频繁变为最频繁攻击媒介,这将导致企业 Web 应用数据泄露。”

6、移动银行木马呈上升趋势

由于COVID-19,移动银行在全球范围内蓬勃发展(在巴西,它占 2020 年所有交易的 51%),预计会有更多适用于 Android 的移动银行木马,尤其是可以绕过银行采用的安全措施的 RAT(例如 OTP 和 MFA )。区域性的 Android 木马将扩散到全球范围内,并攻击西欧国家。

7、在线支付系统的威胁上升

在COVID-19期间,许多公司已经实现数字化,并将其系统迁移到网上。由于隔离和封锁,人们呆在家里的时间越长,他们就越依赖在线商城和支付系统。然而,这种快速的转变并没有伴随着适当的安全措施,这吸引了大量的攻击者。这个问题在发展中国家尤为严重,而且趋势会持续一段时间。

8、随着越来越多金融科技应用出现,更多的金融数据正在吸引攻击者

由于在线支付系统和金融科技应用,许多重要的个人信息存储在移动设备上。许多攻击团伙将继续使用先进技术和高级恶意软件等先进的策略来攻击个人手机,并窃取目标的数据。

9、远程工作人员使用公司电脑进行娱乐,例如在线游戏,对组织构成财务威胁

2020年游戏玩家突破27亿,亚太地区成为最活跃的地区。Steam 等电子游戏平台在 2020 年 4 月和 5 月创下历史新高,今年 3 月,Steam 的同时在线玩家数达到了 2700 万的峰值。之前的文章中写道,员工利用公司笔记本电脑玩游戏、看电影和登录电子学习平台。这种行为很容易识别,因为与前几年相比,2020-2021 年英特尔和 AMD 移动显卡市场蓬勃发展。这种趋势将持续下去,虽然在 2020 年,46% 的员工以前从未远程工作过,但现在三分之二的人表示他们不会回到办公室,其余的人声称每周的办公室工作时间更短。

攻击者通过使用《我的世界》或《反恐精英:全球攻势》等游戏传播恶意软件并窃取登录信息、游戏内道具、支付信息等。此外,好莱坞大片已经成为那些渴望在电影上映前观看的人的完美诱惑。最新的詹姆斯邦德电影《无暇赴死》就是这种情况,攻击者利用恶意广告软件、特洛伊木马和勒索软件来窃取个人信息,甚至勒索想要赎回数据的目标。

10、ATM 和 PoS 恶意软件卷土重来

在COVID-19期间,一些地方的 PoS/ATM 交易水平显着下降。隔离迫使人们呆在家里,在网上购物,这也反映在 PoS/ATM 恶意软件中。随着隔离的解除,预计已知 PoS/ATM 恶意软件活动会回归和新活动会出现。与此同时,攻击者还能像零售商和金融机构的顾客一样,轻松地访问自动取款机和PoS机。

原文链接:

https://securelist.com/cyberthreats-to-financial-organizations-in-2022/104974/

声明:本文来自维他命安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。