Κυβερνοαπειλή στα χρηματοπιστωτικά ιδρύματα 2019: επισκόπηση και προβλέψεις!

Εισαγωγή: Βασικά σημεία για το 2018

Ο τελευταίος χρόνος ήταν γεμάτος από ψηφιακές απειλές που αντιμετώπισαν τα χρηματοπιστωτικά ιδρύματα: οι ομάδες εγκληματικότητας στον κυβερνοχώρο χρησιμοποιούν νέες τεχνικές διείσδυσης και το μέγεθος των επιθέσεων έχει γίνει πιο εκτεταμένο.

Παρόλα αυτά, ας αρχίσουμε την αναθεώρηση με μια θετική τάση: το 2018 η αστυνομία συνέλαβε ορισμένα γνωστά μέλη ομάδας εγκληματιών του κυβερνοχώρου που ευθύνονται για το Carbanak / Cobalt και Fin7, μεταξύ άλλων. Αυτές οι ομάδες έχουν εμπλακεί σε επιθέσεις σε δεκάδες, αν όχι εκατοντάδες εταιρείες και χρηματοπιστωτικά ιδρύματα σε όλο τον κόσμο. Δυστυχώς, η σύλληψη των μελών της ομάδας, συμπεριλαμβανομένου του ηγέτη του Carbanak, δεν οδήγησε σε πλήρη διακοπή των δραστηριοτήτων - στην πραγματικότητα, ξεκίνησε η διαδικασία της διαίρεσης των ομάδων σε μικρότερα τμήματα.

Η πιο δραστήρια ομάδα του 2018 ήταν ο Λάζαρος. Αυτή η ομάδα εξελίσσει σταδιακά το οπλοστάσιο της και αναζητά νέους στόχους. Η περιοχή ενδιαφέροντος της, σήμερα περιλαμβάνει τράπεζες, εταιρείες fin-tech, κρυπτο-ανταλλαγές, τερματικά PoS, ΑΤΜ και από γεωγραφική άποψη έχουν καταγραφεί προσπάθειες επίθεσης σε δεκάδες χώρες, οι περισσότερες από τις οποίες βρίσκονται στην Ασία, την Αφρική και τη Λατινική Αμερική .

Στα τέλη του περασμένου έτους, σημειώσαμε ότι οι νέες εταιρείες τεχνολογίας fin-tech και τα κρυπτογραφικά συστήματα τους, διατρέχουν μεγαλύτερο κίνδυνο, λόγω των ακατάλληλων και άπειρων, συστημάτων ασφαλείας τους. Αυτός ο συγκεκριμένος τύπος εταιρειών ηταν ο συχνότερος στόχος τους. Η πιο δημιουργική επίθεση που παρατηρήθηκε το 2018, ήταν η AppleJeus, η οποία στόχευε τους εμπόρους κρυπτογράφησης. Στην περίπτωση αυτή, οι εγκληματίες δημιούργησαν ειδικό λογισμικό που θεωρήθηκε νόμιμο και πραγματοποίησε νόμιμες συναλλαγές. Ωστόσο, το πρόγραμμα ανέβασε επίσης μια κακόβουλη ενημέρωση που αποδείχθηκε ότι ήταν κερκόπορτα. Πρόκειται για ένα νέο είδος επίθεσης, το οποίο προσβάλλει τους στόχους του μέσω της αλυσίδας εφοδιασμού.

Συνεχίζοντας με το θέμα των επιθέσεων στις αλυσίδες εφοδιασμού, αξίζει να αναφέρουμε τον όμιλο MageCart, ο οποίος, μολύνοντας ιστοτόπους πληρωμών (συμπεριλαμβανομένων των μεγάλων εταιρειών όπως η British Airways) είχε πρόσβαση φέτος σε ένα τεράστιο αριθμό πιστωτικών καρτών. Αυτή η επίθεση ήταν ακόμα πιο αποτελεσματική επειδή οι εγκληματίες επέλεξαν έναν ενδιαφέροντα στόχο - το Magento, που είναι μία από τις πιο δημοφιλείς πλατφόρμες για ηλεκτρονικά καταστήματα. Χρησιμοποιώντας τα τρωτά σημεία του Magento, οι εγκληματίες μπόρεσαν να μολύνουν δεκάδες τοποθεσίες μια τεχνική που πιθανόν να χρησιμοποιηθεί από πολλές άλλες ομάδες.

Πρέπει επίσης να σημειώσουμε την ανάπτυξη κακόβουλων λογισμικών στην οικογένεια των ATM. Το 2018, οι ειδικοί της Kaspersky Lab ανακάλυψαν έξι νέες families, πράγμα που σημαίνει ότι υπάρχουν πλέον πάνω από 20 αυτού του είδους. Ορισμένες οικογένειες κακόβουλων προγραμμάτων ATM έχουν επίσης εξελιχθεί: για παράδειγμα, το κακόβουλο λογισμικό Plotus από τη Λατινική Αμερική έχει ενημερωθεί σε μια νέα έκδοση, Peralda, και ως αποτέλεσμα έχει αποκτήσει νέες λειτουργίες. Η μεγαλύτερη ζημιά που προκλήθηκε από επιθέσεις σε ΑΤΜ ξεκίνησε από επιθέσεις σε εσωτερικά τραπεζικά δίκτυα, όπως το FASTCash και το ATMJackPot, που επέτρεψαν στους επιτιθέμενους να φτάσουν σε χιλιάδες ΑΤΜ.

Το 2018 αντιμετωπίστηκαν επιθέσεις σε οργανισμούς που χρησιμοποιούν τραπεζικά συστήματα. Πρώτον, το σύστημα ανάλυσης συμπεριφοράς ανίχνευσε αρκετά κύματα κακόβουλης δραστηριότητας που σχετίζονταν με την εξάπλωση του Trojan , και παράλληλα οι εισβολείς ενσωμάτωναν τον κώδικα τους σε δημοφιλείς ιστοτόπους ειδήσεων και φόρουμ. Δεύτερον, εντοπίστηκαν επιθέσεις στις οικονομικές υπηρεσίες βιομηχανικών εταιρειών, όπου οι πληρωμές εκατοντάδων χιλιάδων δολαρίων δεν θα προκαλούσε πολλές υποψίες. Συχνά, στα τελικά στάδια επιθέσεων όπως αυτό, οι επιτιθέμενοι εγκαθιστούν εργαλεία απομακρυσμένης διαχείρισης σε μολυσμένους υπολογιστές όπως το RMS, TeamViewer και VNC.

Πριν δώσουμε τις προβλέψεις μας για το 2019, ας δούμε πόσο ακριβείς, αποδείχθηκαν οι προβλέψεις για το 2018.

• Επιθέσεις που έγιναν μέσω των υποκείμενων τεχνολογιών αποκλεισμού των χρηματοπιστωτικών συστημάτων που εφαρμόστηκαν από τα ίδια τα χρηματοπιστωτικά ιδρύματα - αυτό δεν συνέβη στον χρηματοπιστωτικό τομέα, αλλά παρατηρήθηκε στον τομέα των online καζίνο. 
• Περισσότερες κρίσεις εφοδιαστικής αλυσίδας στον χρηματοπιστωτικό κόσμο - ναι 
• Επιθέσεις στα μέσα μαζικής ενημέρωσης (γενικά, συμπεριλαμβανομένων των λογαριασμών Twitter, των σελίδων του Facebook, των τηλεοπτικών καναλιών κ.α.), συμπεριλαμβανομένων των hacks και των χειρισμών για την επίτευξη οικονομικού κέρδους μέσω συναλλαγών μετοχών / κρυπτογραφημένων συναλλαγών - ναι 
• ATM malware αυτοματισμού - ναι. Για παράδειγμα, υπάρχουν κακόβουλα προγράμματα που δίνουν άμεσα χρήματα στους επιτιθέμενους. 
• Περισσότερες επιθέσεις στις πλατφόρμες κρυπτογράφησης - ναι 
• Μια άνοδος στην παραδοσιακή απάτη με κάρτες λόγω των τεράστιων παραβιάσεων δεδομένων που συνέβησαν κατά το προηγούμενο έτος - όχι 
• Περισσότερα έθνη-κράτη υποστηρίζουν τις επιθέσεις κατά των χρηματοπιστωτικών οργανισμών - ναι

Προβλέψεις για το 2019

• Η εμφάνιση νέων ομάδων λόγω του κατακερματισμού του Cobalt / Carbnal και του Fin7: νέες ομάδες και νέα γεωγραφία

Η σύλληψη ηγετών και ξεχωριστών μελών μεγάλων ομάδων εγκληματικότητας στον κυβερνοχώρο δεν έχει σταματήσει αυτές τις ομάδες από επιθέσεις στα χρηματοπιστωτικά ιδρύματα. Το επόμενο έτος θα δούμε πιθανότατα τον κατακερματισμό αυτών των ομάδων και τη δημιουργία νέων από τα πρώην μέλη, γεγονός που θα οδηγήσει στην εντατικοποίηση των επιθέσεων και στην επέκταση της γεωγραφίας των πιθανών θυμάτων.

Ταυτόχρονα, οι τοπικές ομάδες θα επεκτείνουν τις δραστηριότητές τους, αυξάνοντας την ποιότητα και την κλίμακα. Είναι λογικό να υποθέσουμε ότι ορισμένα μέλη των περιφερειακών ομάδων μπορούν να έρχονται σε επαφή με πρώην μέλη της ομάδας Win7 ή Cobalt για να διευκολύνουν την πρόσβαση σε περιφερειακούς στόχους και να αποκτήσουν νέα εργαλεία με τα οποία μπορούν να επιτελέσουν νέες επιθέσεις.

• Οι πρώτες επιθέσεις μέσω της κλοπής και της χρήσης βιομετρικών δεδομένων

Τα βιομετρικά συστήματα ταυτοποίησης των χρηστών εφαρμόζονται σταδιακά από διάφορα χρηματοπιστωτικά ιδρύματα και έχουν ήδη σημειωθεί αρκετές σημαντικές διαρροές των δεδομένων αυτών. Αυτά τα δύο γεγονότα θέτουν τα θεμέλια για τις πρώτες επιθέσεις POC (proof-of-concept), στις χρηματοπιστωτικές εταιρείες, που θα χρησιμοποιούν τα βιολογικά δεδομένα από τις διαρροές.

• Η εμφάνιση νέων τοπικών ομάδων που επιτίθενται σε χρηματοπιστωτικά ιδρύματα στην περιοχή της Ινδίας, του Πακιστάν, τη Νοτιοανατολική Ασία και την Κεντρική Ευρώπη

Η δραστηριότητα των εγκληματιών στον κυβερνοχώρο στις περιοχές αυτές αυξάνεται διαρκώς: σε αυτό το φαινόμενο συμβάλλει η ανεπάρκεια των προστατευτικών λύσεων στον χρηματοπιστωτικό τομέα και η ταχεία εξάπλωση διαφόρων ηλεκτρονικών μέσων πληρωμής μεταξύ του πληθυσμού και των εταιρειών στις περιοχές αυτές. Τώρα, υπάρχουν όλες οι προϋποθέσεις για την εμφάνιση ενός νέου κέντρου για τις οικονομικές απειλές στην Ασία, εκτός από τα τρία ήδη στη Λατινική Αμερική, την Κορεατική Χερσόνησο και την πρώην ΕΣΣΔ.

• Συνέχιση των επιθέσεων στις αλυσίδες εφοδιασμού: επιθέσεις στις μικρές επιχειρήσεις που παρέχουν τις υπηρεσίες τους σε χρηματοπιστωτικά ιδρύματα σε όλο τον κόσμο

Αυτή η τάση θα παραμείνει μαζί μας το 2019. Οι επιθέσεις στους παρόχους λογισμικού αποδείχθηκαν αποτελεσματικές και επέτρεψαν στους επιτιθέμενους να αποκτήσουν πρόσβαση σε διάφορους σημαντικούς στόχους. Οι μικρές εταιρείες (που προμηθεύουν εξειδικευμένες χρηματοοικονομικές υπηρεσίες για τους μεγαλύτερους φορείς) θα τεθούν σε κίνδυνο πρώτα, όπως οι προμηθευτές συστημάτων μεταφοράς χρημάτων, οι τράπεζες και τα χρηματιστήρια.

• Το παραδοσιακό έγκλημα στον κυβερνοχώρο θα επικεντρωθεί σε ευκολότερους στόχους και θα παρακάμψει τα συστήματα ασφαλείας: αντικατάσταση των επιθέσεων PoS με επιθέσεις σε συστήματα που δέχονται ηλεκτρονικές πληρωμές

Την επόμενη χρονιά, όσον αφορά τις απειλές για τους απλούς χρήστες και τα καταστήματα, αυτοί που χρησιμοποιούν κάρτες και δεν χρησιμοποιούν άδεια δύο πράξεων για συναλλαγές θα είναι οι πλέον εκτεθειμένοι. Η κακόβουλη κοινότητα έχει επικεντρωθεί σε μερικούς απλούς στόχους που είναι εύκολο να δημιουργήσουν έσοδα. Ωστόσο, αυτό δεν σημαίνει ότι δεν χρησιμοποιούν πολύπλοκες τεχνικές. Για παράδειγμα, για να παρακάμψουν τα συστήματα ασφαλείας, αντιγράφουν όλες τις ρυθμίσεις του υπολογιστή και του προγράμματος περιήγησης. Από την άλλη πλευρά, αυτή η συμπεριφορά του ηλεκτρονικού εγκλήματος θα σημαίνει ότι ο αριθμός των επιθέσεων στα τερματικά PoS θα μειωθεί και θα στραφούν προς τις επιθέσεις στις πλατφόρμες πληρωμών μέσω διαδικτύου.

• Τα συστήματα ηλεκτρονικής ασφάλισης των χρηματοπιστωτικών ιδρυμάτων θα παρακάμπτονται χρησιμοποιώντας φυσικές συσκευές συνδεδεμένες στο εσωτερικό δίκτυο

Λόγω της έλλειψης φυσικής ασφάλειας και της έλλειψης ελέγχου σε συνδεδεμένες συσκευές σε πολλά δίκτυα, οι κυβερνοεγκληματίες θα εκμεταλλευτούν πιο ενεργά καταστάσεις όπου μπορεί να εγκατασταθεί ένας υπολογιστής ή μίνι-πίνακας, ειδικά διαμορφωμένοι για να κλέψουν δεδομένα από το δίκτυο και να μεταφέρουν τις πληροφορίες χρησιμοποιώντας 4G / LTE μόντεμ.

Τέτοιου είδους επιθέσεις, θα παράσχουν cybergangs με την ευκαιρία να αποκτήσουν πρόσβαση σε διάφορα στοιχεία, συμπεριλαμβανομένων των πληροφοριών για τους πελάτες των χρηματοπιστωτικών ιδρυμάτων, καθώς και την υποδομή δικτύου των χρηματοπιστωτικών ιδρυμάτων.

• Επιθέσεις στους επαγγελματίες users του mobile banking

Οι εφαρμογές στα κινητά για επιχειρήσεις κερδίζουν δημοτικότητα, γεγονός που ενδέχεται να οδηγήσει σε πρώτες θέσεις, την πιθανότητα επίθεσης κατά των χρηστών αυτών. Υπάρχουν αρκετά εργαλεία για αυτό, και οι πιθανές απώλειες που επιφέρουν στις επιχειρήσεις είναι πολύ υψηλότερες από τις απώλειες που υφίστανται όταν επιτίθενται στα άτομα. Οι πιθανότεροι φορείς επίθεσης είναι οι επιθέσεις στο επίπεδο API του Web και μέσω της αλυσίδας εφοδιασμού.

• Προηγμένες εκστρατείες των κοινωνικών μηχανών που στοχεύουν σε χειριστές, γραμματείς και άλλους εσωτερικούς υπαλλήλους που είναι υπεύθυνοι για τα καλώδια: αποτέλεσμα διαρροών δεδομένων

Η κοινωνική μηχανική είναι ιδιαίτερα δημοφιλής σε ορισμένες περιοχές, για παράδειγμα στη Λατινική Αμερική. Οι κυβερνοεγκληματίες συνεχίζουν να στοχεύουν συγκεκριμένους ανθρώπους σε εταιρείες και χρηματοπιστωτικά ιδρύματα για να τους κάνουν να διατηρούν μεγάλα ποσά χρημάτων. Λόγω της μεγάλης ποσότητας διαρροών των δεδομένων τα προηγούμενα χρόνια, αυτό το είδος επιθέσεων γίνεται πιο αποτελεσματικό, καθώς οι εγκληματίες μπορούν να χρησιμοποιήσουν την διαρροή εσωτερικών πληροφοριών σχετικά με την στοχοθετημένη οργάνωση για να κάνουν τα μηνύματά τους να φαίνονται απολύτως νόμιμα. Η βασική ιδέα παραμένει η ίδια: οι στόχοι αυτοί θεωρούν ότι το οικονομικό αίτημα προέρχεται από επιχειρηματικούς εταίρους ή διευθυντές. Αυτές οι τεχνικές χρησιμοποιούν μηδενικό κακόβουλο λογισμικό, αλλά δείχνουν πώς η στοχευμένη κοινωνική μηχανή έχει αποτελέσματα και θα γίνει ισχυρότερη το 2019. Αυτό περιλαμβάνει επιθέσεις όπως το "simswap".

Πηγή