expr:class='"loading" + data:blog.mobileClass'>

112

112
заработок автосерфинг

Translate

ЕЕЕ

ЕЕЕ

z

понедельник, 9 декабря 2019 г.

Киберугрозы финансовым институтам 2020: обзор и прогнозы

Киберугрозы финансовым институтам 2020: обзор и прогнозы

  • Kaspersky Security Bulletin 2019. Расширенные прогнозы угроз на 2020 год
  • Кибербезопасность подключенного здравоохранения 2020: обзор и прогнозы
  • Технологические прогнозы 5G 2020
  • Прогноз корпоративной безопасности 2020

Ключевые события 2019

  • Масштабный обход анти-мошенничества: обнаружен рынок цифровых отпечатков пальцев Genesis
  • Многофакторная аутентификация (MFA) и биометрические проблемы
  • Целевые группы атак, специализирующиеся на финансовых институтах: раскол и глобализация
  • Вредоносные программы для банкоматов становятся более целенаправленными
  • Кража и повторное использование информации о карте: повсеместное распространение магии и битва семейства вредоносных программ POS в Латинской Америке

Масштабный обход анти-мошенничества: обнаружен рынок цифровых отпечатков пальцев Genesis

В течение последних нескольких лет киберпреступники много инвестировали в методы обхода систем противодействия мошенничеству, потому что теперь недостаточно просто украсть логин, пароль и PII - теперь им нужен цифровой отпечаток, чтобы обойти системы противодействия мошенничеству, чтобы извлекать деньги из банка. В течение 2019 года мы определили огромный подпольный рынок под названием Genesis, который продает цифровые отпечатки пальцев пользователей онлайн-банкинга со всего мира.         С точки зрения системы защиты от мошенничества, цифровая идентификация пользователя представляет собой цифровой отпечаток - комбинацию системных атрибутов, уникальных для каждого устройства, и личных поведенческих атрибутов пользователя. Он включает в себя IP-адрес (внешний и локальный), информацию об экране (разрешение экрана, размер окна), версию прошивки, версию операционной системы, установленные плагины браузера, часовой пояс, идентификатор устройства, информацию о батарее, шрифты и т. Д. Устройство может иметь более 100 атрибутов, используемых для просмотра. Вторая часть цифровой идентичности - это поведенческий анализ.   Поскольку преступники постоянно ищут способы обойти меры защиты от мошенничества, они пытаются заменить реальные отпечатки пальцев системы поддельными или уже украденными с чужого ПК.    Genesis Store - это частный интернет-рынок киберпреступников, предназначенный только для приглашения украденных цифровых отпечатков пальцев. На момент нашего исследования было предложено более 60 тысяч украденных профилей ботов. Профили включают в себя отпечатки пальцев браузера, логины и пароли пользователей веб-сайтов, файлы cookie, информацию о кредитных картах и ​​т. Д. Загружая этот отпечаток в браузер Tenebris Linken Sphere, преступники могут выдавать себя за законных пользователей онлайн-банкинга из любого региона, страны, штата и города. , так далее.   Этот тип атаки показывает, что преступники имеют глубокие знания о том, как работают внутренние банковские системы, и это реальная задача защиты от таких атак. Лучший вариант - всегда использовать многофакторную аутентификацию.

Многофакторная аутентификация (MFA) и биометрические проблемы

МИД является проблемой для киберпреступников. Когда MFA используется, они должны придумать методы, чтобы обойти это. Наиболее распространенными методами, использованными в течение последнего года, были:
  • Использование уязвимостей и недостатков в конфигурации системы. Например, преступники смогли найти и использовать несколько недостатков в системах дистанционного банковского обслуживания, чтобы обойти OTP (одноразовые коды доступа);
  • Использование социальной инженерии, распространенного метода среди русскоязычных киберпреступников и в регионе APAC;
  • Смена SIM-карты, которая особенно популярна в таких регионах, как Латинская Америка и Африка. Фактически, несмотря на то, что SMS больше не считается безопасным 2FA, низкие эксплуатационные расходы означают, что это самый популярный метод, используемый провайдерами.
Теоретически, биометрия должна решать множество проблем, связанных с двухфакторной аутентификацией, но практика показала, что это может быть не так просто. За прошедший год было выявлено несколько случаев, свидетельствующих о том, что технология биометрии все еще далека от совершенства.  Во-первых, проблем с реализацией довольно много. Например, Google Pixel 4 не проверяет, открыты ли ваши глаза в процессе разблокировки, используя черты лица. Еще одним примером является возможность обхода аутентификации по отпечатку пальца с помощью сенсора под экраном на смартфонах разных производителей, в том числе популярных брендов, таких как Samsung.  В Латинской Америке был использован еще один трюк: визуальная атака захвата. Киберпреступники установили мошеннические камеры видеонаблюдения и использовали их для записи ПИН-кодов, которые люди использовали для разблокировки своих телефонов. Такая простая техника все еще очень эффективна для обоих типов жертв: тех, кто использует биометрические данные, и тех, кто предпочитает PIN-коды отпечаткам пальцев или распознаванию лиц. Это связано с тем, что когда устройство пыльное или жирное (то же самое относится и к пальцам пользователя), лучший способ разблокировать телефон - это использовать PIN-код.  Во-вторых, было несколько громких утечек биометрических баз данных. Самой известной была утечка базы данных Biostar 2, которая включала биометрические данные более 1 миллиона человек. Компания хранила незашифрованные данные, включая имена, пароли, домашние адреса, адреса электронной почты и, что наиболее важно, незашифрованные биометрические данные, которые включали отпечатки пальцев и шаблоны распознавания лиц, а также реальные фотографии лиц. Аналогичная утечка произошла у сотрудника Таможенного и пограничного патруля США, где утечка биометрической информации о 100 000 человек.  Уже было несколько проверок концепции, которые используют биометрические данные для обхода мер безопасности, но этим атакам все еще можно было противостоять с помощью обновлений системы. С другой стороны, с этими последними утечками это не сработает, потому что ваши биометрические данные не могут быть изменены - они остаются с вами навсегда.  Упомянутые выше случаи в сочетании с высококачественными исследованиями, проведенными киберпреступниками с целью получения полного цифрового отпечатка пальца пользователя для обхода систем защиты от мошенничества, позволяют предположить, что использование только биометрических данных не решит текущие проблемы. Сегодняшние реализации требуют больших усилий и дополнительных исследований, чтобы сделать их действительно безопасными.

Целевые группы атак, специализирующиеся на финансовых институтах: раскол и глобализация

FIN7

В 2018 году Европол и Министерство юстиции США объявили об аресте лидера групп киберпреступности FIN7 и Carbanak / CobaltGoblin. Некоторые считали, что арест окажет влияние на деятельность группы, но, похоже, это не так. Фактически, число групп, работающих под эгидой CobaltGoblin и FIN7, выросло: есть несколько взаимосвязанных групп, использующих очень похожие наборы инструментов и ту же инфраструктуру для проведения кибератак.   Первой операцией в этом направлении стала известная ныне FIN7, которая специализируется на атаках на различные компании, чтобы получить доступ к финансовым данным или их инфраструктуре PoS. Он опирается на бэкдор Griffon JScript и Cobalt / Meterpreter, а в более поздних атаках - на PowerShell Empire.  Вторым является CobaltGoblin / Carbanak / EmpireMonkey. Он использует тот же инструментарий, методы и аналогичную инфраструктуру, но предназначен только для финансовых учреждений и связанных с ними поставщиков программного обеспечения и услуг.  Последняя группа - недавно обнаруженная группа CopyPaste, которая нацелена на финансовые организации и компании в одной африканской стране, что позволяет нам полагать, что эта группа связана с кибер-наемниками или учебным центром. Связи между CopyPaste и FIN7 все еще очень слабы. Возможно, что операторы этого кластера деятельности находились под влиянием публикаций с открытым исходным кодом и на самом деле не имеют никакого отношения к FIN7.  Все эти группы извлекают большую выгоду из непатентованных систем в корпоративных средах и продолжают использовать эффективные кампании фишинг-атак в сочетании с хорошо известными эксплойтами Microsoft Office, созданными их средой эксплуатации. Пока что группы не использовали никаких подвигов нулевого дня. Фишинговые документы FIN7 / Cobalt могут показаться базовыми, но в сочетании с их обширной социальной инженерией и целевым таргетингом они оказались весьма успешными.  В середине 2019 года FIN7 замолчал, но вернулся в конце года с новыми атаками и новыми инструментами. Мы подозреваем, что период молчания связан с отключением их инфраструктуры, которое произошло после закрытия пуленепробиваемой хостинговой компании в Восточной Европе.   В отличие от FIN7, деятельность Cobalt Goblin Group была стабильной в течение всего года, что еще раз доказывает, что эти группы связаны, но работают самостоятельно: их наборы инструментов и TTP очень похожи, но работают независимо; и только иногда мы можем обнаружить совпадения в инфраструктуре. В то же время интенсивность атак немного ниже, чем в 2018 году. Тактика Cobalt Goblin осталась прежней: они используют документы с эксплойтами, которые сначала загружают небольшой загрузчик, а затем маяк Cobalt. Основные цели также остаются прежними: небольшие банки в разных странах. Возможно, мы обнаружили меньшее количество атак из-за диверсификации, поскольку некоторые индикаторы предполагают, что группа также может участвовать в JS sniffing (MageCarting) для получения данных о платежных картах непосредственно с веб-сайтов.  JS sniffing был чрезвычайно популярен в течение года, и мы обнаружили, что тысячи сайтов электронной коммерции заражены этими скриптами. Внедренные сценарии действуют по-разному, и инфраструктура злоумышленников сильно отличается, что говорит о том, что этот тип мошенничества используется по меньшей мере дюжиной групп киберпреступников.  Группа Silence в течение года активно расширяла свою деятельность в разных странах. Мы обнаружили атаки в регионах, где никогда не видели их раньше. Например, мы зафиксировали атаки в Юго-Восточной Азии и Латинской Америке. Это указывает на то, что они либо расширили свои операции самостоятельно, либо начали сотрудничать с другими региональными группами киберпреступности. Однако, когда мы смотрим на развитие их основного бэкдора, мы видим, что их технологии почти не изменились за последние два года.

Вредоносные программы для банкоматов становятся более целенаправленными

Когда дело дошло до вредоносных программ для банкоматов, в 2019 году мы обнаружили несколько совершенно новых семейств. Наиболее заметными были ATMJadi и ATMDtrack.ATMJadi интересен тем, что не использует стандартные библиотеки XFS, JXFS или CSC. Вместо этого   он использует проприетарные классы Java программного обеспечения банка-жертвы: это означает, что вредоносная программа будет работать только на небольшом подмножестве банкоматов. Это делает эту вредоносную программу очень направленной (на один конкретный банк).  Это напоминает случай FASTcach с 2018 года, когда преступники предназначались для серверов под управлением ОС AIX. С уменьшением количества универсальных инструментов вывода средств можно сказать, что вредоносное ПО для банкоматов становится все более редким и более целенаправленным.  Еще одна интересная часть вредоносного ПО - это ATMDtrack, который был впервые обнаружен в финансовых учреждениях Индии и запрограммирован на обналичивание банкоматов. Используя механизм атрибуции целевых атак Kaspersky (KTAE), мы смогли приписать эти атаки группе Lazarus, которая поддерживает наш прогноз на 2018 год о том, что «будет больше спонсируемых государством атак на финансовые организации ». Более того, подобные шпионские программы были обнаружены в исследовательских центрах, причем группа Lazarus APT использовала практически идентичные инструменты для кражи результатов исследований из научных институтов.

Кража и повторное использование информации о карте

В течение года мы видели много вредоносных программ конечных пользователей и нацеливание бизнеса ищут данные кредитной карты. В частности, в Бразилии мы видели, как несколько семей вредоносных программ боролись между собой, чтобы сохранить контроль над зараженными устройствами. HydraPOS и ShieldPOS были очень активными в течение года, с новыми версиями, которые включали много новых целей; Prilex, тем временем, сократил свою деятельность во второй половине года.
ShieldPOS активен по крайней мере с 2017 года, и, будучи только вредоносным ПО, он, наконец, превратился в MaaS (вредоносное ПО как услуга). Этот факт показывает, что латиноамериканские киберпреступники проявляют большой интерес к ведению собственного «бизнеса» по краже кредитных карт. HydraPOS была в основном сосредоточена на краже денег из POS-систем в ресторанах, парковочных автоматах и ​​различных розничных магазинах.
По сравнению с ShieldPOS, HydraPOS - более старая кампания от актера, которого мы назвали Maggler, который работает в сфере кредитных карт как минимум с 2016 года. Основное отличие состоит в том, что, в отличие от ShieldPOS, он не работает как MaaS. В обоих случаях мы подозреваем, что первоначальный вектор заражения - это тщательно подготовленная кампания социальной инженерии, включающая телефонные звонки жертвам.

Анализ прогнозов на 2019 год

Прежде чем давать наши прогнозы на 2020 год, давайте посмотрим, насколько точными оказались наши прогнозы на 2019 год:
Появление новых групп из-за фрагментации Cobalt / Carbanak и FIN7: новые группы и новая география.
  • Да , мы видели активность CobaltGoblin, активность FIN7, активность CopyPaste и пересечение IoC и группы Silence.
Первые атаки через кражу и использование биометрических данных.
  • Да , взломы различных баз данных биометрических данных регулярно появлялись в течение года. Мы также раскрыли рынок цифровых отпечатков пальцев, где преступники могут покупать цифровые отпечатки пальцев, которые включают, помимо прочего, данные о поведении (компонент биометрии).
Появление новых локальных группировок, атакующих финансовые институты в индо-пакистанском регионе, Юго-Восточной Азии и Центральной Европе.
  • Нет. Оказалось, что такие известные группы, как Lazarus, Silence и CobaltGoblin, заняли свое место и очень активно атаковали финансовые учреждения в этих регионах.
Продолжение атак по цепочке поставок: атаки на небольшие компании, которые предоставляют свои услуги финансовым учреждениям по всему миру.
  • Да.
Традиционная киберпреступность будет ориентирована на самые простые цели и обходить решения по борьбе с мошенничеством: замена POS-атак на атаки на системы, принимающие онлайн-платежи (Magecarting / JS skimming).
  • Да, количество групп, которые начали проводить атаки на системы онлайн-платежей, постоянно росло в течение года. Мы обнаружили тысячи сайтов, затронутых скиммингом JS.
Системы кибербезопасности финансовых учреждений будут обойдены с использованием физических устройств, подключенных к внутренней сети.
  • Да , и не только в финансовых учреждениях, но даже в аэрокосмической отрасли, а именно НАСА, пострадали от этого типа атак.
Атаки на мобильный банкинг для бизнес-пользователей.
  • Нет.
Расширенные кампании социальной инженерии, предназначенные для операторов, секретарей и других внутренних сотрудников, отвечающих за электронные переводы.
  • Да, атаки BEC (компрометация деловой электронной почты) во всем мире растут. Мы видели крупные нападения в Японии, а также были кампании в Южной Америке, особенно в Эквадоре.
  • Кроме того, в Бразилии активно используются современные социальные атаки, чтобы заставить POS-операторов перейти на вредоносный веб-сайт, чтобы загрузить специально созданные модули удаленного управления и запустить их, например, при атаках HydraPOS.

Прогноз 2020

Атаки против Весов и ТОН / Грамм

Успешный запуск таких криптовалют, как Libra и Gram, может привести к всемирному распространению этого типа активов, что, естественно, привлечет внимание преступников. Учитывая серьезный всплеск активности киберпреступников во время быстрого роста биткойнов и альткойнов в 2018 году, мы прогнозируем, что подобная ситуация, скорее всего, развернется вокруг Грама и Весов. Крупные игроки на этом рынке должны быть особенно осторожны, так как есть ряд групп APT, таких как WildNeutron и Lazarus, в чьи интересы входят крипто активы. Они очень вероятно, чтобы использовать эти события.

Перепродажа доступа к банку

В течение 2019 года мы были свидетелями случаев, когда группы, которые специализируются на целевых атаках на финансовые учреждения, появлялись в сетях жертв после вторжений других групп, которые специализируются на продаже доступа rdp / vnc, таких как FXMSP и TA505. Эти факты также подтверждают подпольные форумы и чат-мониторинг.
В 2020 году мы ожидаем увеличение активности групп, специализирующихся на продаже сетевого доступа в регионах Африки и Азии, а также в Восточной Европе. Их основными целями являются небольшие банки, а также финансовые организации, недавно купленные крупными игроками, которые перестраивают свою систему кибербезопасности в соответствии со стандартами своих материнских компаний.

Вымогателей нападения на банки

Этот прогноз логически следует из предыдущего. Как уже упоминалось выше, небольшие финансовые учреждения часто становятся жертвами оппортунистических киберпреступников. Если эти преступники не могут перепродать доступ, или даже если становится менее вероятным, что они смогут снять деньги, то наиболее логичной монетизацией такого доступа является вымогатель. Банки относятся к тем организациям, которые с большей вероятностью заплатят выкуп, чем допустят потерю данных, поэтому мы ожидаем, что число таких целевых атак вымогателей продолжит расти в 2020 году.
Еще одним вектором атаки вымогателей на малые и средние финансовые учреждения будет схема «плата за установку». Традиционные ботнеты со временем превратятся во все более популярные механизмы доставки против этих финансовых учреждений.

2020: возвращение пользовательских инструментов

Меры, предпринятые антивирусными продуктами для эффективного обнаружения инструментов с открытым исходным кодом, используемых в целях ручного тестирования, и внедрение новейших технологий киберзащиты, подтолкнет киберпреступников к 2020 году вернуться к пользовательским инструментам, а также инвестировать в новые трояны и эксплойты.

Глобальная экспансия троянов мобильного банкинга: результат утечки информации

Наши исследования и мониторинг подпольных форумов позволяют предположить, что исходный код некоторых популярных троянов мобильного банкинга попал в открытый доступ. Учитывая популярность таких троянов, мы ожидаем повторения ситуации, когда исходный код троянов ZeuS и SpyEye был утечен: количество попыток атаковать пользователей в разы увеличится, а география атак расширится почти до каждой страны в мир.

Инвестиционные приложения на подъеме: новая цель для преступников

Мобильные приложения инвестиций становятся все более популярными среди пользователей по всему миру. Эта тенденция не останется незамеченной киберпреступниками в 2020 году. Учитывая популярность некоторых финтех-компаний и бирж (как для реальных, так и для виртуальных денег), киберпреступники поймут, что не все из них готовы бороться с массовыми кибератаками, так как некоторые приложения до сих пор отсутствует базовая защита учетных записей клиентов, а также не предусмотрена двухфакторная проверка подлинности или закрепление сертификатов для защиты взаимодействия приложений. Несколько правительств дерегулируют эту область, и новые игроки появляются каждый день, очень быстро становясь популярными. Фактически, мы уже видели попытки киберпреступников заменить интерфейсы этих приложений своими вредоносными версиями.

Magecarting 3.0: еще больше групп атакующих и облачных приложений, чтобы стать главными целями

За последние пару лет JS Skimming приобрел огромную популярность среди злоумышленников. К сожалению, киберпреступники теперь имеют огромную поверхность атаки, состоящую из уязвимых сайтов электронной коммерции и чрезвычайно дешевых инструментов JS скиммера, доступных для продажи на различных форумах, начиная от 200 долларов. На данный момент мы можем выделить как минимум 10 различных участников этих типов атак, и мы считаем, что их число будет расти в течение следующего года. Наиболее опасные атаки будут на компании, которые предоставляют такие услуги, как электронная коммерция как услуга, что приведет к компрометации тысяч компаний.

Политическая нестабильность, ведущая к распространению киберпреступности в конкретных регионах

В некоторых странах происходят политические и социальные потрясения, в результате которых массы людей ищут статус беженца в других странах. Эти волны иммиграции включают в себя все виды людей, в том числе киберпреступников. Это явление приведет к распространению географически локализованных атак в странах, которые ранее не были затронуты ими.
Источник  Лаборатория Касперского
Автор: на

Комментариев нет:

Отправить комментарий

Подписаться на: Комментарии к сообщению (Atom)