安全公司Group-IB估計,在2017年下半年 - 2018年上半年,網絡攻擊對俄羅斯金融業造成了4940萬美元(29.6億盧布)的損失
Group-IB是一家專門防範網絡攻擊的國際公司,據估計,在2017年下半年 - 2018年上半年,網絡攻擊對俄羅斯金融業造成了4940萬美元(29.6億盧布)的損失。正如Group-IB 在CyberCrimeCon18會議上提交的年度報告“ 高科技犯罪趨勢2018 ”所述,每月有1-2家銀行因網絡攻擊而賠錢,一次成功盜竊造成的損失平均為,200萬美元。
Group-IB首席執行官兼創始人伊利亞•薩奇科夫(Ilya Sachkov)表示,“ APT集團的財務動力仍然普遍存在,無論是偷來的錢 - 都不是金融機構可能發生的最危險的事情”。“由於在許多國家,銀行被視為關鍵基礎設施,因此它們是國家贊助的黑客團體的目標,專門從事破壞活動。一次成功的攻擊能夠摧毀一個金融機構,甚至破壞國家金融體系。考慮到這一點,銀行需要重新考慮其防範網絡威脅的方法。防禦是一種過時的策略。現在是時候停止成為受害者併成為獵人。“
在新的報告中,Group-IB專家詳細描述了金融部門的網絡威脅 - 活躍的APT群體,攻擊者的策略,感染媒介和新的黑客工具。
針對銀行的針對性攻擊:
積極的團體和退出方法
Group-IB確定了4個對金融部門構成真正威脅的犯罪APT團體:他們不僅能夠滲透到銀行的網絡並訪問孤立的金融系統,而且還可以通過SWIFT,AWS CBR,卡處理和自動取款機。這些團體是Cobalt,MoneyTaker,Silence,由講俄語的黑客和朝鮮組織Lazarus領導。
只有兩個犯罪集團對SWIFT銀行間轉賬系統構成威脅:Lazarus和Cobalt,後者於2017年底在一家使用SWIFT的銀行上進行了俄羅斯金融業史上第一次成功的攻擊。據Group-IB估計,報告期內通過SWIFT對銀行進行盜竊的針對性攻擊次數有所增加一舉三得。在此期間,記錄了三起此類襲擊事件:香港,烏克蘭和土耳其。然而,在此期間,尼泊爾,臺灣,俄羅斯,墨西哥,印度,保加利亞和智利已經有9次成功襲擊。好消息是,通過SWIFT,大部分未經授權的轉移可以及時停止並返回受影響的銀行。
對卡處理的攻擊仍然是盜竊的主要方法之一,它們被Cobalt,MoneyTaker和Silence的黑客積極使用。2018年2月,Silence成員成功襲擊了一家銀行並通過卡片處理竊取了資金:他們設法通過合作銀行的ATM機從卡中提取了522,000美元(3500萬盧布)。集中攻擊ATM和卡處理導致一次攻擊造成的平均傷害減少。但是,它們允許攻擊者更安全地進行這些攻擊,以便“兌現”贖回被盜資金。攻擊者在一個國家,他們的受害者(銀行)在另一個國家,並且兌現在第三國完成。
MoneyTaker積極使用通過AWS CBR(俄羅斯中央銀行的自動化工作站客戶)提取資金- 2017年11月,他們設法提取104,000美元(700萬盧布),但在2018年夏天,他們成功偷走了865,000美元(5800萬美元)盧布銀行。MoneyTaker已經在美國進行了16次攻擊,5次在俄羅斯銀行進行,1次在英國進行。在美國,一次攻擊造成的平均傷害為500,000美元。在俄羅斯,平均撤資額為110萬美元(7200萬盧布)。2017年12月,Group-IB發佈了關於該組的第一份報告:“MoneyTaker:1。5年的無聲運營”。
在指定期間,只有Cobalt對支付網關進行了攻擊。2017年,他們使用這種方法從兩家公司竊取資金,然而,2018年沒有嘗試過。他們在Anunak集團的一次攻擊中得到了幫助,他們自2014年以來沒有進行此類襲擊。儘管2018年春天該團伙的領導人在西班牙被捕,但Cobalt仍然是最積極和最具侵略性的團體之一,每月2-3次穩步攻擊俄羅斯和國外的金融機構。
對銀行客戶的攻擊:
Android木馬的衰落和網絡釣魚的勝利
根據Group-IB專家的說法,在俄羅斯,不再有任何團體可以使用銀行特洛伊木馬進行個人盜竊。自2012年以來,這一趨勢旨在減少來自PC的銀行特洛伊木馬的威脅。
目前,只有三個犯罪集團 - Buhtrap2,RTM 和Toplel - 來自俄羅斯法人實體賬戶的資金。Group-IB專家注意到2017年下半年攻擊者戰術發生了變化:分發特洛伊木馬的媒介不再是傳統的惡意攻擊或黑客攻擊網站,而是為會計師和公司高管創建新的定製資源誰在他們的工作中使用遠程銀行系統(RBS),支付系統或加密貨幣錢包。在虛假資源上,犯罪分子放置了旨在下載Buhtrap 和RTM特洛伊木馬程序的代碼。
與俄羅斯不同,在全球舞臺上,網絡威脅形勢發生了翻天覆地的變化。已經出現了六種新的PC銀行特洛伊木馬:IcedID,BackSwap,DanaBot,MnuBot,Osiris和Xbot。在新的特洛伊木馬中,我們想強調BackSwap,它最初只攻擊波蘭的銀行,但隨後轉移到西班牙的銀行。BackSwap很有意思,因為它同時實現了幾種引入代碼以自動替換付款細節的新技術。銀行客戶面臨的最大威脅仍然來自使用Dridex,Trickbot和Gozi Trojans的犯罪集團。
在過去的一年中,Group-IB專家指出,經過幾年的快速增長後,俄羅斯感染了Android特洛伊木馬智能手機的流行病。使用致力於每天盜竊的數量
的Android木馬在俄羅斯幾乎降低三倍,而盜竊的平均量減少$ 164至$ 104。新的Android特洛伊木馬 - Easy,Exobot 2.0,CryEye,Cannabis,fmif,AndyBot,Loki v2,Nero銀行家,Sagawa和其他 - 在黑客論壇上出售或出租,主要用於俄羅斯境外。一個例外是你手中的惡意軟件銀行。該特洛伊木馬被偽裝成一個金融應用程序,旨在用作俄羅斯主要銀行移動銀行系統的“聚合器”。每天,特洛伊木馬從用戶那裡偷走了1,500美元到7,500美元,但是在2018年3月,在Group-IB的幫助下,犯罪分子被警方拘留。客戶損害減少的另一個原因可以解釋為銀行和支付系統引入了早期欺詐檢測技術,這些技術使用行為分析算法,允許檢測攻擊,結合社會工程詐騙網絡釣魚,殭屍網絡,非法取款網絡和欺詐在所有客戶設備和平臺上跨多個渠道和其他類型的銀行欺詐使用網絡釣魚和銀行,支付系統,電信運營商,在線商店和知名品牌的假網站犯下的犯罪數量大幅增加。使用網絡釣魚,犯罪分子設法竊取了370萬美元(2.51億盧布),比上一期間增加了6%。平均而言,每次網絡釣魚攻擊中大約有
15美元被盜。據Group-IB估計,創建模仿俄羅斯品牌的網絡釣魚網站的群體數量從15個增加到26個。至於全球趨勢,正如預期的那樣,最多的金融網絡釣魚網站都在美國註冊。它們佔所有金融網絡釣魚站點的80%。法國排在第二位,其次是德國。Group-IB的首席執行官Ilya Sachkov指出,要打敗網絡犯罪,我們需要在州一級同步法律,打擊犯罪分子的經濟基礎和資金渠道,並暫停開發和銷售可能結束的數字武器在刑事手中。
“網絡安全必須成為人們,企業和國家的優先範例。人們認為,打擊網絡威脅是裝甲和裝備的典型競爭。這就是為什麼保護範式本身已經發生變化的原因:主要思想是在網絡罪犯面前提前幾步,並首先阻止犯罪行為發生。“
關於作者Group-IB
Group-IB是全球領先的解決方案提供商之一,旨在檢測和預防網絡攻擊,欺詐風險和互聯網上的知識產權保護。GIB威脅情報網絡威脅數據收集系統被Gartner,Forrester和IDC評為最佳之一。
Group-IB的技術領先地位建立在公司在全球網絡犯罪調查方面十五年的實踐經驗和在東歐最大的法醫實驗室積累的55000小時的網絡安全事件響應以及全天候提供的24小時中心的基礎之上對網絡事件的快速反應 - CERT-GIB。
Group-IB是INTERPOL,Europol和網絡安全解決方案提供商的合作伙伴,由SWIFT和OSCE推薦。
閱讀更多 灰心的極可恥 的文章
