Sekoia: последние новости о киберугрозах финансового сектора

В новом отчете французской компании по кибербезопасности Sekoia описывается эволюция ландшафта угроз в финансовом секторе. Этот сектор наиболее подвержен фишингу во всем мире и все чаще подвергается фишингу с помощью QR-кодов.

Финансовая индустрия также страдает от атак на цепочку поставок программного обеспечения и входит в число секторов, наиболее пострадавших от программ-вымогателей в 2023 году. Рост числа атак на смартфоны Android затрагивает этот сектор как в плане киберпреступности, так и операций кибершпионажа.

Перейти к:

Фишинговая угроза Кампании BEC развиваются Множественные риски цепочки поставок Финансово ориентированное вредоносное ПО Мосты DeFi и блокчейн под атакой Размытая грань между киберпреступностью и государственным шпионажем Снижение рисков киберугроз

Фишинговая угроза

По данным ФБР, фишинг является крупнейшим цифровым преступлением в 2022 году: в 2022 году жертвами стали более 300 000 человек. Рабочая группа по борьбе с фишингом указывает, что в третьем квартале 2022 года финансовый сектор больше всего пострадал от фишинговых кампаний: 23 % финансовых учреждений, подвергшихся атаке.

Фишинг как услуга массово поражает сектор

По данным Sekoia, модель «фишинг как услуга» получила массовое распространение в 2023 году. Киберпреступникам продаются комплекты для фишинга, состоящие из фишинговых страниц, выдающих себя за различные финансовые организации, в дополнение к комплектам, предназначенным для узурпации Microsoft и сбора учетных данных для входа в Microsoft 365. которые компании используют для аутентификации в различных сервисах.

Одним из примеров такой угрозы является NakedPages PhaaS, который предоставляет фишинговые страницы для самых разных целей, включая финансовые организации. Злоумышленник управляет лицензиями и регулярно объявляет об обновлениях через свой канал Telegram, который в настоящее время насчитывает около 3500 участников (рис. A). По поводу этой цифры Ливия Тибирна, аналитик по стратегической разведке угроз в Sekoia, рассказала TechRepublic, что «вообще говоря, субъекты киберпреступности имеют тенденцию увеличивать свою аудиторию и, следовательно, свою заметность, приглашая пользователей присоединиться к их публичным ресурсам. Таким образом, пользователи являются потенциальными (будущими) клиентами услуг злоумышленников. Тем не менее, другой тип пользователей, присоединяющихся к ресурсам Telegram злоумышленников, — это эксперты по кибербезопасности, отслеживающие соответствующие угрозы».

Рисунок А

Среди всех предоставленных фишинговых страниц злоумышленник упоминает программу онлайн-бухгалтерии QuickBooks, используемую многими организациями финансового сектора.

По данным исследователей Sekoia, наиболее активными наборами инструментов, использовавшимися для PhaaS за последний год, помимо NakedPages, являются EvilProxy, Dadsec, Caffeine и Greatness.

Растет количество фишинговых кампаний с QR-кодами

Sekoia заметила увеличение количества фишинговых или кишинговых кампаний с использованием QR-кодов. Атаки Quishing заключаются в том, чтобы нацеливаться на пользователей с помощью QR-кодов, чтобы обманом заставить их предоставить свою личную информацию, например учетные данные для входа или финансовую информацию.

По оценкам Sekoia, фишинг с QR-кодом будет увеличиваться из-за его «эффективности в уклонении от обнаружения и обходе решений по защите электронной почты».

По данным Sekoia, возможности Quishing являются частью фишинговой сервисной платформы Dadsec OTT, наиболее часто используемого набора в третьем квартале 2023 года. Это наблюдалось в нескольких крупномасштабных атаках, в частности, под видом банковских компаний.

Другая крупная кампания по сбору средств была нацелена на инвестиционные организации с помощью набора Tycoon PhaaS. Атака quishing использовала вложения электронной почты в формате PDF и XLSX, содержащие QR-код, что в конечном итоге привело к краже файлов cookie сеанса Microsoft 365.

Кампании BEC развиваются

За первые шесть месяцев 2023 года число кампаний по компрометации деловой электронной почты выросло на 55 %. Хотя в этих атаках обычно выдавались выдачи себя за генеральных директоров и руководителей высшего звена, теперь они также выдают себя за поставщиков или деловых партнеров.

Один недавний случай затронул финансовый сектор благодаря сложной многоэтапной фишинговой атаке «противник посередине» и BEC. Атака была конкретно нацелена на банковские и финансовые услуги и исходила от скомпрометированного доверенного поставщика, что свидетельствует об эволюции ландшафта угроз BEC.

Множественные риски цепочки поставок

В период с 2022 по 2023 год число атак на цепочки поставок программного обеспечения с открытым исходным кодом увеличилось на 200%. Поскольку 94% организаций финансового сектора используют компоненты с открытым исходным кодом в своих цифровых продуктах или услугах, этот сектор может пострадать от атак, использующих компрометации в Цепочка поставок программного обеспечения с открытым исходным кодом.

Ярким примером стала уязвимость Log4Shell и ее эксплуатация, которая затронула тысячи компаний по всему миру с целью получения финансовой выгоды и шпионажа.

Сообщалось также об атаках на цепочки поставок, нацеленных конкретно на банковский сектор, что свидетельствует о том, что некоторые субъекты угроз обладают способностью проводить сложные атаки на этот сектор.

Как заявил Sekoia: «Весьма вероятно, что продвинутые злоумышленники будут продолжать явно атаковать цепочку поставок программного обеспечения банковского сектора».

Финансовые агрегаторы также представляют собой новую возможность для злоумышленников атаковать сектор. По словам Секойи, эти агрегаторы «не подвергаются такому же уровню регулирования, как традиционные банковские учреждения, и поддерживаются технологиями с потенциальными уязвимостями».

Международный валютный фонд также заявляет, что «новые технологии в финансовых услугах также могут создавать новые риски» и что «API с плохой архитектурой безопасности могут привести к утечкам потенциально конфиденциальных данных».

Примером может служить атака на один из таких агрегаторов под названием Dexible в феврале 2023 года. В этой атаке уязвимость позволяла злоумышленникам ориентировать токены пользователей на их собственные смарт-контракты перед их отзывом.

Финансово ориентированное вредоносное ПО

Вредоносное ПО, предназначенное для сбора финансовых данных, включая информацию о кредитных картах, банковские реквизиты, криптовалютные кошельки и более конфиденциальные данные, существует уже много лет.

Мобильные банковские трояны

Особую обеспокоенность Sekoia вызывает рост числа мобильных банковских троянов, которое в 2022 году удвоилось по сравнению с предыдущим годом и продолжает расти в 2023 году. Sekoia прогнозирует, что это, вероятно, связано с увеличением количества мобильных устройств, используемых для финансовых операций. служб и на то, что эти вредоносные программы помогают обходить двухфакторную аутентификацию.

Шпионское ПО

По данным Sekoia, в 2023 году шпионское ПО — вредоносные фрагменты кода, предназначенные для сбора нажатий клавиш, учетных данных и более конфиденциальных данных — все чаще используются для банковского мошенничества. Одним из вредоносных программ для Android является SpyNote, которое в дополнение к своим предыдущим функциям начало атаковать банковские приложения.

программы-вымогатели

Программы-вымогатели в значительной степени нацелены на финансовый сектор, который стал четвертым наиболее пострадавшим сектором в третьем квартале 2023 года: запросы о выкупе варьируются от 180 000 до 40 миллионов долларов США и в некоторых случаях имеют огромные физические последствия.

Sekoia сообщает о важном изменении для известных участников программ-вымогателей, использующих вымогательство в финансовом секторе, таких как BianLian: они перешли к вымогательству на основе кражи без какого-либо шифрования систем и данных жертв. Этот шаг, вероятно, сделан для того, чтобы избежать масштабных проблем с шифрованием во время массовых кампаний по компрометации.

Мосты DeFi и блокчейн под атакой

Децентрализованные финансы, основанные на технологии блокчейна, также сталкиваются с угрозами.

Криптовалюты построены на различных блокчейнах, которые представляют собой закрытые среды, которые не могут взаимодействовать друг с другом. Для решения этой проблемы были разработаны решения по обеспечению совместимости, включая межцепочные мосты и атомные свопы. Эти решения основаны на смарт-контрактах — сегментах кода, которые выполняют передачу токенов на основе проверки конкретных условий.

Атаки на организации DeFi в основном нацелены на их сотрудников, которые могут быть вынуждены предоставить свои учетные данные злоумышленникам или подвергнуться риску заражения вредоносным ПО. Оказавшись внутри сети организации, злоумышленники могут украсть криптовалюты.

Примером спонсируемого государством злоумышленника, нацеленного на DeFi и мосты блокчейнов, является Lazarus. Северокорейский злоумышленник заработал в 10 раз больше денег, чем другие участники, и в основном фокусируется на предприятиях индустрии криптоактивов, расположенных в Азии и США, а не на традиционных европейских банковских учреждениях. В 2023 году Lazarus приписывали три атаки на платформы DeFi против Atomic Wallet, Alphapo и CoinsPaid, в результате чего было украдено 132 миллиона долларов США.

Похоже, что нацеливание на DeFi в основном осуществляется спонсируемыми государством субъектами угроз, как рассказала TechRepublic Колин Чавейн, аналитик по стратегической разведке угроз в Sekoia: «Похоже, что платформы и сервисы DeFi в основном подвергаются атакам спонсируемых государством наборов вторжений, а не киберпреступников. . В 2023 году мы не наблюдали серьезных атак со стороны киберпреступников на DeFi. Тем не менее, эти услуги могут быть использованы для осуществления незаконных переводов для администраторов киберпреступников или групп, занимающихся вымогательством».

Блокчейн-компания Chainaанализ за 2022 год сообщила об убытках в размере 3,8 млрд долларов США во всем мире, причем 64% убытков приходится на протоколы межсетевых мостов.

Размытая грань между киберпреступностью и государственным шпионажем

Иногда бывает сложно определить причину нападения, особенно если сложно оценить мотивацию злоумышленника. Некоторые атаки, направленные на финансовый сектор, полностью направлены на получение финансовой выгоды, но другие могут быть направлены на кибершпионаж. Но еще более интригующим является тот факт, что некоторые субъекты угроз маскируют свои операции как финансово ориентированные, хотя на самом деле это стратегические операции со шпионской целью.

В 2022 году компания Secureworks, входящая в состав Dell Technologies, опубликовала исследование об угрозе Bronze Starlight, нацеленной на компании, использующие программы-вымогатели. Secureworks указывает, что «сочетание виктимологии и совпадения с инфраструктурой и инструментами, связанными с деятельностью спонсируемых государством групп угроз, указывает на то, что BRONZE STARLIGHT может использовать программы-вымогатели, чтобы скрыть свою кибершпионскую деятельность».

Другой случай, раскрытый Касперским, проливает свет на то, что майнер криптовалюты является элементом более сложного вредоносного ПО под названием StripedFly и связан с вредоносным ПО Equation.

Снижение рисков киберугроз

Финансовый сектор подвержен нескольким угрозам безопасности. Фишинг и BEC существуют уже много лет, но их сложность усложнилась, продолжая влиять на сектор и идти в ногу с новыми технологиями. Все сотрудники, работающие в финансовых организациях, должны быть обучены обнаруживать попытки фишинга или мошенничества, которые могут быть нацелены на них. У них также должен быть простой способ сообщить о любой подозрительной активности в свой ИТ-отдел.

В реальных условиях наблюдаются и более непрямые атаки, поскольку злоумышленники все чаще нацеливаются на организации через атаки на цепочки поставок. В частности, программное обеспечение с открытым исходным кодом, используемое в продуктах или услугах, должно быть тщательно проверено перед развертыванием.

Раскрытие информации: я работаю в Trend Micro, но мнения, выраженные в этой статье, принадлежат мне.