让我们先回顾一下2020年的关键事件,然后对2021年金融机构面临的网络威胁做出预测。2020年的关键事件对Libra和TON/Gram的攻击:Libra是Facebook推出的一种新的虚拟加密货币,但Facebook本身就存在数据泄露的问题,而数字货币的推出可能会激发黑客炫耀自己的技术。Gram是Telegram基于TON区块链系统发行的通用代币。一方面,区块链攻击和互联网攻击具有相同的技术。另一方面,区块链攻击的场景更加多样化,给黑客带来了很多可想而知的攻击方式。倒卖银行通道:黑市上有很多银行通道倒卖活动,有些价格非常优惠,卖家声称可以提供远程访问世界各地的各种银行。通常,攻击者利用一个或多个漏洞,然后将其转售给有经济动机的黑客,包括目标勒索软件运营商。针对银行的勒索软件攻击:各种有针对性的勒索软件团体攻击了世界各地的银行,例如哥斯达黎加、智利和塞舌尔。媒体报道了这三起案件,Maze对哥斯达黎加的袭击事件负责,REvil(Sodinokibi)是智利袭击事件的幕后黑手。支付赎金的受害者并未出现在勒索软件组织的名单上,而且没有人确定还有多少其他银行受到了有针对性的勒索软件攻击。自定义特洛伊木马呈上升趋势:一些网络犯罪分子将投资于新的特洛伊木马和漏洞利用,作为其自定义工具操作的一部分。由于商业网络提供商及其在客户基础设施上运行的设备的各种漏洞和利用,这种情况变得尤其令人难过。另一方面,我们也看到黑客开发了用于网络侦察和数据收集的微型工具。手机银行木马全球泛滥:这种趋势是攻击发展的必然趋势。Ginp、Ghimob、Anubis和Basbanke只是这一趋势的几个代表性例子。顺带一提,Anubis的源代码已经被泄露并发布在了互联网上。因此,这是攻击移动银行系统全球扩张的另一个原因。针对投资应用程序:一个很好的例子是Ghimob,这是卡巴斯基实验室在7月份发现的一种新的Android银行木马,它能够从112个金融应用程序中窃取数据。Ghimob旨在为巴西、巴拉圭、秘鲁、葡萄牙、德国、安哥拉和莫桑比克等国家的银行、金融科技公司、交易所和加密货币提供金融应用。如果我们将加密货币交易应用程序视为投资应用程序,那么答案也是肯定的。但是,这些攻击的规模还不是很大。Magecart攻击:Magecart的大规模扩展令人印象深刻,随处可见。Magecart是专门针对电子商务网站的恶意软件。它会在网站中注入Skimmer恶意程序代码,窃取用户的支付信息。它受到包括Keeper在内的许多黑客组织的青睐。自2017年4月以来,Keeper已成功渗透全球55个国家的570个电子商务网站。2018年7月至2019年4月,18.4万条银行卡信息被盗,估计为非法获取。银行卡信息可能多达70万条。今天,它也是各种窃取支付卡的群体的首选。例如,Lazarus攻击者使用Magecart代码在其函数表中添加了数字支付卡读取功能。政治不稳定导致网络犯罪蔓延:在COVID-19大流行期间,许多攻击者要么利用COVID-19大流行的话题进行钓鱼攻击,要么寻找医疗机构的漏洞进行攻击。然而,全球扩张是通过互联网进行的,利用配置不当和暴露的系统,例如,在易受攻击或配置错误的RDP协议上运行等。2020年的重大事件与COVID-19危机相关的各种金融网络攻击由于影响疫情之下,不少企业纷纷部署远程办公解决方案,降低了安全性。事实上,有些甚至没有足够的笔记本电脑提供给员工。然后员工必须购买他们在零售市场上找到的任何东西,即使这些设备不符合组织的安全标准。至少,这可以让业务继续下去。然而,那些配置错误的计算机将不得不连接到远程系统,这是该公司没有考虑到的一个安全问题。缺乏员工培训、笔记本电脑默认配置不变以及易受攻击的远程访问连接使得包括有针对性的勒索软件在内的攻击成为可能。一旦建立了对组织的远程访问,恶意工具的使用就会增加,例如从内存中转储密码、侦察受害者的网络以及在网络内横向移动。巴西的攻击者向世界其他地区扩张巴西的网络犯罪生态系统曾经非常成熟,今年,我们看到其中一些恶意组织开始将其活动扩展到其他地区,目标是欧洲和其他地方的受害者。排名前四的恶意软件家族是Guildma、Javali、Melcoz和Grandoreiro。随后阿马瓦尔多、兰皮恩和比萨罗加入了球队。在移动银行木马恶意软件方面,Ghimob现在瞄准拉丁美洲和非洲,而Basbanke则活跃在葡萄牙和西班牙。PoS和ATM恶意软件家族Trojan/Win32.Prilex是一个针对ATM的恶意代码家族,于2017年10月首次披露,用于攻击拉丁美洲的葡萄牙语ATM。通过Prilex分析发现,该恶意代码使用VisualBasic6.0(VB6)编写,代码中夹杂着“Ol?Jos?Boatarde”等葡萄牙语单词。攻击者伪造、更换ATM应用屏幕,等待受害者输入密码,获取受害者的密码信息后,将密码等数据返回给攻击者的远程服务器。Prilex家族影响特定品牌的ATM,这意味着攻击者需要对目标进行一系列渗透活动,然后才能进行恶意攻击。因此,Prilex家族是攻击者在熟悉目标后编写和设计的恶意代码。臭名昭著的Prilex将自己定位为MaaS市场,最近进行了重放攻击。它还针对PIN键盘通信。一般来说,Prilex将自己定位为一个黑客组织,在ATM恶意软件、PoS恶意软件、DDoS服务、用于克隆支付卡的EMV软件等方面拥有多种技能。一些ATM恶意软件系列经过多次迭代,现在包含RAT功能。其中之一是使用dnscat2来阻止C2通信并绕过传统的网络检测机制。CESSO已成为MaaS的一种,现在瞄准Diebold、Wincor和NCR的ATM。其目的是窃取美元、欧元、拉丁美洲当地货币和其他货币。该代码表明开发人员的母语是葡萄牙语。定向勒索是新常态,也是金融机构面临的主要威胁由于网络信息渠道和媒体传输速度的提升,许多企业网络安全事件和信息泄露事件将在几分钟内传遍全球。因此,很多勒索组织威胁企业,如果不及时支付赎金,就会泄露信息。这种攻击趋势很重要,因为它不再是关于数据加密,而是关于从受害网络泄漏机密信息。由于支付卡行业的安全和其他法规,此类违规行为可能会导致重大财务损失。关于勒索软件的另一个关键点是,今年它利用人为因素作为初始感染媒介。试图感染特斯拉的案例就是一个很好的例子。当涉及到非常引人注目的目标时,攻击者会毫不犹豫地花费时间和资源在MICE框架内工作(金钱、意识形态、妥协和自我)来获得对受害者网络的访问权限。不幸的是,勒索软件的故事还没有结束。Lazarus组织尝试与VHD勒索软件家族进行这场大型比赛。这导致了新一轮的攻击,随后是其他APT攻击者,包括MuddyWater。2017年底观察到MuddyWater活动。2021年预测在继续对2021年进行预测之前,需要提醒的是,我们在2020年看到的大多数威胁将在明年持续存在。例如,有针对性的勒索软件将保持相关性。以下是我们预计明年会出现的新攻击趋势:COVID-19大流行可能会造成大规模的贫困浪潮,这将不可避免地导致更多人诉诸犯罪,包括网络犯罪。我们可能会看到某些经济崩溃和当地货币迅速贬值,这将使比特币盗窃更具吸引力。由于这种加密货币是最受欢迎的一种,我们应该预料到会有更多的欺诈活动,主要针对比特币。MageCart攻击转移到服务器端,我们可以看到依赖客户端攻击(JavaScript)的攻击者每天都在减少。我们有理由相信攻击会转移到服务器端。网络犯罪生态系统内部运营的重新整合和内部化:网络犯罪市场的主要参与者和利润丰厚的企业将主要依靠自己的内部开发,减少外包以提高利润。来自受经济制裁国家的老练攻击者可能更多地依赖于模仿网络犯罪分子的勒索软件,重用现有代码或从头开始创建他们自己的漏洞利用程序。本文翻译自:https://securelist.com/cyberthreats-to-financial-organizations-in-2021/99591/如有转载请注明出处。
