安全公司Group-IB估计,在2017年下半年 - 2018年上半年,网络攻击对俄罗斯金融业造成了4940万美元(29.6亿卢布)的损失
Group-IB是一家专门防范网络攻击的国际公司,据估计,在2017年下半年 - 2018年上半年,网络攻击对俄罗斯金融业造成了4940万美元(29.6亿卢布)的损失。正如Group-IB 在CyberCrimeCon18会议上提交的年度报告“ 高科技犯罪趋势2018 ”所述,每月有1-2家银行因网络攻击而赔钱,一次成功盗窃造成的损失平均为,200万美元。
Group-IB首席执行官兼创始人伊利亚•萨奇科夫(Ilya Sachkov)表示,“ APT集团的财务动力仍然普遍存在,无论是偷来的钱 - 都不是金融机构可能发生的最危险的事情”。“由于在许多国家,银行被视为关键基础设施,因此它们是国家赞助的黑客团体的目标,专门从事破坏活动。一次成功的攻击能够摧毁一个金融机构,甚至破坏国家金融体系。考虑到这一点,银行需要重新考虑其防范网络威胁的方法。防御是一种过时的策略。现在是时候停止成为受害者并成为猎人。“
在新的报告中,Group-IB专家详细描述了金融部门的网络威胁 - 活跃的APT群体,攻击者的策略,感染媒介和新的黑客工具。
针对银行的针对性攻击:
积极的团体和退出方法
Group-IB确定了4个对金融部门构成真正威胁的犯罪APT团体:他们不仅能够渗透到银行的网络并访问孤立的金融系统,而且还可以通过SWIFT,AWS CBR,卡处理和自动取款机。这些团体是Cobalt,MoneyTaker,Silence,由讲俄语的黑客和朝鲜组织Lazarus领导。
只有两个犯罪集团对SWIFT银行间转账系统构成威胁:Lazarus和Cobalt,后者于2017年底在一家使用SWIFT的银行上进行了俄罗斯金融业史上第一次成功的攻击。据Group-IB估计,报告期内通过SWIFT对银行进行盗窃的针对性攻击次数有所增加一举三得。在此期间,记录了三起此类袭击事件:香港,乌克兰和土耳其。然而,在此期间,尼泊尔,台湾,俄罗斯,墨西哥,印度,保加利亚和智利已经有9次成功袭击。好消息是,通过SWIFT,大部分未经授权的转移可以及时停止并返回受影响的银行。
对卡处理的攻击仍然是盗窃的主要方法之一,它们被Cobalt,MoneyTaker和Silence的黑客积极使用。2018年2月,Silence成员成功袭击了一家银行并通过卡片处理窃取了资金:他们设法通过合作银行的ATM机从卡中提取了522,000美元(3500万卢布)。集中攻击ATM和卡处理导致一次攻击造成的平均伤害减少。但是,它们允许攻击者更安全地进行这些攻击,以便“兑现”赎回被盗资金。攻击者在一个国家,他们的受害者(银行)在另一个国家,并且兑现在第三国完成。
MoneyTaker积极使用通过AWS CBR(俄罗斯中央银行的自动化工作站客户)提取资金- 2017年11月,他们设法提取104,000美元(700万卢布),但在2018年夏天,他们成功偷走了865,000美元(5800万美元)卢布银行。MoneyTaker已经在美国进行了16次攻击,5次在俄罗斯银行进行,1次在英国进行。在美国,一次攻击造成的平均伤害为500,000美元。在俄罗斯,平均撤资额为110万美元(7200万卢布)。2017年12月,Group-IB发布了关于该组的第一份报告:“MoneyTaker:1。5年的无声运营”。
在指定期间,只有Cobalt对支付网关进行了攻击。2017年,他们使用这种方法从两家公司窃取资金,然而,2018年没有尝试过。他们在Anunak集团的一次攻击中得到了帮助,他们自2014年以来没有进行此类袭击。尽管2018年春天该团伙的领导人在西班牙被捕,但Cobalt仍然是最积极和最具侵略性的团体之一,每月2-3次稳步攻击俄罗斯和国外的金融机构。
对银行客户的攻击:
Android木马的衰落和网络钓鱼的胜利
根据Group-IB专家的说法,在俄罗斯,不再有任何团体可以使用银行特洛伊木马进行个人盗窃。自2012年以来,这一趋势旨在减少来自PC的银行特洛伊木马的威胁。
目前,只有三个犯罪集团 - Buhtrap2,RTM 和Toplel - 来自俄罗斯法人实体账户的资金。Group-IB专家注意到2017年下半年攻击者战术发生了变化:分发特洛伊木马的媒介不再是传统的恶意攻击或黑客攻击网站,而是为会计师和公司高管创建新的定制资源谁在他们的工作中使用远程银行系统(RBS),支付系统或加密货币钱包。在虚假资源上,犯罪分子放置了旨在下载Buhtrap 和RTM特洛伊木马程序的代码。
与俄罗斯不同,在全球舞台上,网络威胁形势发生了翻天覆地的变化。已经出现了六种新的PC银行特洛伊木马:IcedID,BackSwap,DanaBot,MnuBot,Osiris和Xbot。在新的特洛伊木马中,我们想强调BackSwap,它最初只攻击波兰的银行,但随后转移到西班牙的银行。BackSwap很有意思,因为它同时实现了几种引入代码以自动替换付款细节的新技术。银行客户面临的最大威胁仍然来自使用Dridex,Trickbot和Gozi Trojans的犯罪集团。
在过去的一年中,Group-IB专家指出,经过几年的快速增长后,俄罗斯感染了Android特洛伊木马智能手机的流行病。使用致力于每天盗窃的数量
的Android木马在俄罗斯几乎降低三倍,而盗窃的平均量减少$ 164至$ 104。新的Android特洛伊木马 - Easy,Exobot 2.0,CryEye,Cannabis,fmif,AndyBot,Loki v2,Nero银行家,Sagawa和其他 - 在黑客论坛上出售或出租,主要用于俄罗斯境外。一个例外是你手中的恶意软件银行。该特洛伊木马被伪装成一个金融应用程序,旨在用作俄罗斯主要银行移动银行系统的“聚合器”。每天,特洛伊木马从用户那里偷走了1,500美元到7,500美元,但是在2018年3月,在Group-IB的帮助下,犯罪分子被警方拘留。客户损害减少的另一个原因可以解释为银行和支付系统引入了早期欺诈检测技术,这些技术使用行为分析算法,允许检测攻击,结合社会工程诈骗网络钓鱼,僵尸网络,非法取款网络和欺诈在所有客户设备和平台上跨多个渠道和其他类型的银行欺诈使用网络钓鱼和银行,支付系统,电信运营商,在线商店和知名品牌的假网站犯下的犯罪数量大幅增加。使用网络钓鱼,犯罪分子设法窃取了370万美元(2.51亿卢布),比上一期间增加了6%。平均而言,每次网络钓鱼攻击中大约有
15美元被盗。据Group-IB估计,创建模仿俄罗斯品牌的网络钓鱼网站的群体数量从15个增加到26个。至于全球趋势,正如预期的那样,最多的金融网络钓鱼网站都在美国注册。它们占所有金融网络钓鱼站点的80%。法国排在第二位,其次是德国。Group-IB的首席执行官Ilya Sachkov指出,要打败网络犯罪,我们需要在州一级同步法律,打击犯罪分子的经济基础和资金渠道,并暂停开发和销售可能结束的数字武器在刑事手中。
“网络安全必须成为人们,企业和国家的优先范例。人们认为,打击网络威胁是装甲和装备的典型竞争。这就是为什么保护范式本身已经发生变化的原因:主要思想是在网络罪犯面前提前几步,并首先阻止犯罪行为发生。“
关于作者Group-IB
Group-IB是全球领先的解决方案提供商之一,旨在检测和预防网络攻击,欺诈风险和互联网上的知识产权保护。GIB威胁情报网络威胁数据收集系统被Gartner,Forrester和IDC评为最佳之一。
Group-IB的技术领先地位建立在公司在全球网络犯罪调查方面十五年的实践经验和在东欧最大的法医实验室积累的55000小时的网络安全事件响应以及全天候提供的24小时中心的基础之上对网络事件的快速反应 - CERT-GIB。
Group-IB是INTERPOL,Europol和网络安全解决方案提供商的合作伙伴,由SWIFT和OSCE推荐。
閱讀更多 灰心的極可恥 的文章
