Ֆինանսական կազմակերպությունների դեմ սպառնալիքները.«Կասպերսկի Լաբորատորիա»-ի ամփոփումը և կանխատեսումը 2019-ի համար

Ֆինանսական կազմակերպությունների դեմ սպառնալիքները.«Կասպերսկի Լաբորատորիա»-ի ամփոփումը և կանխատեսումը 2019-ի համար

Անցած տարին չափազանց հագեցած էր ֆինանսական ինստիտուտների հետ կապված թվային սպառնալիքներին ոլորտի իրադարձություններով. կիբեռհանցավոր խմբավորումները կիրառում էին ներթափանցման նոր հնարքներ, իսկ գրոհների աշխարհագրություն ավելի ընդլայնվեց։ Անցած տարի կար նաև դրական միտում. 2018 ոստիկանությունը կալանավորեց Carbanak/Cobalt և Fin7 հայտնի կիբեռհանցավոր խմբերի մի շարք անդամների։ Այդ խմբերը նշանավորվեցին աշխարհով մեկ տասնյակ, եթե ոչ հարյուրավոր ընկերությունների և ֆինանսական կազմակերպությունների վրա գրոհներով։ Խմբերի անդամների, այդ թվում՝ Carbanak-ի ղեկավարի ձերբակալությունը, ցավոք, չհանգեցրեց դրանց գործունեության ամբողջական դադարեցմանը, և, ամենայն հավանականությամբ, գործարկեց խմբերն ավելի մանր բջիջների մասնատելու գործընթացը։

2018 թվականի ամեաակտիվ խումբ դարձավ Bluenorof/Lazarus-ը, որի մասնակիցներն աստիճանաբար ընդլայնում են միջոցների զինանոցը և ընտրում նոր թիրախներ։ Այսօր նրանց հետաքրքրության շրջանակ են մտնում բանկեր, ֆինանսա-տեխնոլոգիական ընկերություններ, կրիպտոարժութային բորսաներ, PoS-տերմինալներ, բանկոմատներ (ATM), իսկ ինչ վերաբերում է աշխարհագրությանը, ապա «Կասպերսկի Լաբորատորիա»-ն ներթափանցման փորձեր էր գրանցում տասնյակ երկրներում, որոնց մեծամասնությունը գտնվում է Ասիայում, Աֆրիկայում և Լատինական Ամերիկայում։

2017 թվականի վերջում «Կասպերսկի Լաբորատորիա»-ն նշել է , որ ավելի բարձր ռիսկի գոտում են գտնվում երիտասարդ ֆինանսա-տեխնոլոգիական ընկերությունները և կրիպտոարժութային բորսաները, ինչը կապված է դրանց անվտանգության համակարգերի ոչ հասուն լինելու հետ։ Հենց այդ ընկերություններն էին կանոնավոր կերպով հայտնվում կիբեռմիջադեպերի հետ կապված լուրերում։ «Կասպերսկի Լաբորատորիա»-ի փորձագետների տեսանկյունից՝ առավել ստեղծարար էր կրիպտոարժույթի առևտրով զբաղվողներին թիրախավորած  AppleJeus գրոհը։ Չարագործներն ստեղծել էին հատուկ ծրագրային ապահովում, որը բացարձակապես լեգիտիմ տեսք և օգտակար գործառույթներ ուներ, սակայն որոշակի պահի ծրագիրը թարմացում էր ներբեռնում, որի ստուգումը պարզեց, որ այն բեկդոր է։ Ըստ էության, դա գրոհների նոր տեսակ է, որն իրականցվում է մատակարարումների շղթայի միջոցով։

Շարունակելով մատակարարումների շղթայի միջոցով գրոհների թեման՝ արժե հիշատակել MageCart խումբը, որը վճարումների ընդունման էջերը վարակելու օգնությամբ, այդ թվում՝ այնպիսի խոշոր ընկերությունների կայքերում, ինչպիսին British Airways-ն է, կարողացել է հասանելիություն ստանալ վճարային քարտերի տվյալների հսկայական քանակի։ Տվյալ գրոհի արդյունավետությունը կապված է հանցագործների կողմից հետաքրքիր թիրախի ընտրության հետ. դա Magento-ն է՝ համացանցային խանութների ամենատարածված ծրագրային հարթակներից մեկը։ Դրա խոցելիություններն օգտագործելով՝ նրանք կարողացել են վարակել տասնյակ կայքեր։ Ամենից հավանական է, որ այդ հնարքը կիրառում են մի քանի տարբեր խմբեր, և ոչ միայն MageCart-ը։

Արժե առանձին նշել ATM-ների վնասաբեր ծրագրերի զարգացումը։ 2018 թվականի ընթացքում «Կասպերսկի Լաբորատորիա»-ի փորձագետները հայտնաբերել են դրանց նոր վեց ընտանիք, և արդյունքում դրանք արդեն ավելի քան քսանն են։ ATM-վնասաբեր ծրագրերի որոշ ընտանիքներ էվոլյուցիա են ապրել. այսպես, օրինակ, Հարավային Ամերիկայում մշակված Plotus-ը թարմացել է մինչև նոր տարբերակ՝ Peralda-ն, և ձեռք է բերել նոր հնարավորություններ։ Բանկոմատների վրա գրոհների առավելագույն վնասն առաջացնում էին բանկի ներքին ցանցից վարակման այնպիսի դեպքերը, որոնք կապված էին FASTCash և ATMJackPot գրոհների հետ, երբ չարագործները կարող էին հասնել տասնյակ և հարյուրավոր ATM-ների։

Առանձնանում են բանկային համակարգերի հաճախորդ կազմակերպությունների վրա գրոհները։ Առաջին՝ «Կասպերսկի Լաբորատորիա»-ի մեքենայական ուսուցման վրա հիմնված վարքի վերլուծության համակարգը հայտնաբերել է վնասաբեր ակտիվության մի քանի ալիք, որոնք կապված են եղել Buhtrap բանկային տրոյացու տարածման հետ։ Այդ ժամանակ չարագործները կարողացել էին ներդնել իրենց կոդը ժողովրդականություն վայելող նորությունների կայքերում և ֆորումներում։ Երկրորդ կարևոր պատմությունը կապված է արդյունաբերական ընկերությունների ֆինանսական բաժինների վրա գրոհների հետ. այդ ընկերություններում հարյուր հազարավոր դոլարների վճարումներն առանձնահատուկ կասկածներ չեն առաջացնում։ Ամենից հաճախ եզրափակիչ փուլում չարագործները վարակված համակարգիչներում տեղադրում են հեռավար կառավարման այնպիսի գործիքներ, ինչպիսիք են RMS-ը, TeamViewer-ը և VNC-ն։

Մինչ 2019 թվականի կանխատեսումներին անցնելը հարկ է տեսնել, թե որքանով են ճշգրիտ իրականացել կանխատեսումները, որոնք «Կասպերսկի Լաբորատորիա»-ն արել էր անցած տարվա համար.

  • «Բլոկչեյնի վրա կառուցված, այդ տեխնոլոգիաների խոցելիությունների և սխալների միջոցով բանկային համակարգերի վրա իրականացվող գրոհների հայտնվելը»՝ չի իրականացել ֆինանսական, բայց իրականացել է առցանց-կազինոների բնագավառում։
  • «Ծրագրային ապահովման (ԾԱ) մատակարարներին կոտրելու միջոցով ֆինանսական կազմակերպության ցանց ներթափանցման հետ կապված նոր միջադեպեր»՝ իրականացել է։
  • «ԶԼՄ-ների և սոցիալական մեդիայի (Twitter, Facebook, Telegram-ի ալիքներ) մանիպուլյացիաներ և կոտրանքներ՝ տեղեկատվական կեղծիքների սանձազերծած շուկայական տատանումներից շահույթ կորզելու համար»՝ իրականացել է։
  • «Բանկոմատների համար վնասաբեր ԾԱ-ի ավտոմատացում»՝ իրականացել է։ Օրինակ՝ հայտնվել են վնասաբեր ծրագրեր, որոնք չարագործներին փողը տրամադրում են բանկոմատների միանգամից ամենամեծ արժեքով թղթադրամների դիսպենսերներից։
  • «Նոր գրոհներ կրիպտոարժույթների բորսաների վրա»՝ իրականացել է։
  • Վճարային տեղեկատվության հետ կապված «ավանդական» խարդախության կտրուկ աճ, որը պետք է սանձազերծվեր 2017 թվականին տվյալների զանգվածային արտահոսքերով»՝ չի իրականացել։
  • «Պետությունների հովանավորած ցանցահենների խմբավորումների կողմից  ֆինանսական կազմակերպությունների վրա գրոհների քանակի աճ»՝ իրականացել է։
  • «Ֆինանսա-տեխնոլոգիական և մոբայլ օգտատերերը՝ որպես ավանդական կիբեռհանցավորության նոր հիմնական թիրախ»՝ իրականացել է։ Այսպես, բանկային տրոյացիների մի մասը դադարել է գրոհել անհատական համակարգիչներով առցանց-բանկինգից օգտվողներին, սակայն, դրա հետ մեկտեղ մոբայլ տրոյացիների քանակը վերջին տարվա ընթացքում աճել է ավելի քան կրկնակի։

2019-ի կանխատեսումներ

Cobalt/Carbanak-ի և Fin7-ի մասնատման հետևանքով նոր խմբերի հայտնվելը. նոր խմբեր և նոր աշխարհագրություն

Խոշոր կիբեռհանցավոր խմբերի ղեկավարների և առանձին անդամների ձերբակալությունները չեն հանգեցրել դրանց կողմից ֆինանսական ինստիտուտների վրա գրոհների դադարեցման։ 2019 թվականին, ամենից հավանական է, այդ խմբերը կմասնատվեն և դրանց նախկին անդամներից կստեղծվեն նորերը, ինչը կհանգեցնի գրոհների քանակի մեծացման և հնարավոր զոհերի աշխարհագրության ընդլայնման։

Միաժամանակ, տեղական տարածաշրջանային խմբերը կսկսեն ընդլայնել իրենց գործունեությունը՝ բարելավելով գրոհների որակը և ծավալները։ Տրամաբանական է ենթադրելը, որ տարածաշրջանային խմբերը կարող են կապվել Fin7-ի կամ Cobalt-ի նախկին մասնակիցների հետ, որպեսզի հեշտացնեն հասանելիությունը տարածաշրջանային թիրախներին և ստանան գրոհների իրականացման նոր գործիքներ։

Կենսաչափական տվյալների գողության և օգտագործման միջոցով առաջին գրոհներ

Տարբեր ֆինանսական ինստիտուտներ աստիճանաբար ներդնում են օգտատերերի նույնականացման և մուտքի ստուգման կենսաչափական համակարգերը, և, ընդ որում, արդեն տեղի է ունեցել հավաքված կենսաչափական տվյալների մի քանի խոշոր արտահոսք։ Այդ երկու փաստերը հող են նախապատրաստել արտահոսած կենսաչափական տվյալների կիրառումով ֆինանսական ծառայությունների վրա առաջին PoC (proof-of-concept) գրոհների հայտնվելու համար։

Կհայտնվեն նոր տեղային խմբեր, որոնք կգրոհեն Հնդկա-պակիստանյան, Հարավ-Արևելյան Ասիայի և Կենտրոնական Եվրոպայի ֆինանսական ինստիտուտները

Կիբեռհանցագործների ակտիվությունն այդ տարածաշրջաններում անընդհատ աճում է, դրան նպաստում է ինչպես ֆինանսական հատվածում պաշտպանական լուծումների ոչ հասուն լինելը, այնպես էլ բնակչության և ընկերությունների շրջանում վճարումների տարբեր էլեկտրոնային միջոցների արագ տարածումը։ Այժմ ստեղծվել են բոլոր նախադրյալներն Ասիայում ֆինանսական սպառնալիքների նոր կենտրոնի հայտնվելու համար՝ ի լրումն ներկայումս գոյություն ունեցող երեքի՝ լատինամերիկյանի, կորեականի և նախկին ԽՍՀՄ-ի։

Կշարունակվեն գրոհներն այն ոչ մեծ ընկերությունների վրա, որոնք ծառայություններ են առաջարկում աշխարհով մեկ տեղաբաշխված ֆինանսական ինստիտուտներին

Այդ միտումը կշարունակվի 2019 թվականին։ ԾԱ-ի մատակարարների վրա գրոհներն ապացուցել են իրենց արդյունավետությունը և չարագործներին թույլ են տվել հասանելիություն ստանալ միանգամից մի քանի լուրջ թիրախների։ Ռիսկի խմբում են առաջին հերթին ոչ մեծ ընկերությունները, խոշոր խաղացողների համար այնպիսի մասնագիտացված ֆինանսական ծառայությունների մատակարարները, ինչպիսիք են դրամական փոխանցման համակարգերը, բանկերը և բորսաները, PoS-երի և ATM-ների համար ԾԱ-ն։

Ավանդական կիբեռհանցավորության կենտրոնացումն առավել հասարակ թիրախների և խարդախության դեմ լուծումների շրջանցման վրա. գրոհներ առցանց-վճարումների ընդունման համակարգերի վրա՝ PoS-ի փոխարեն

Ընթացիկ տարի հասարակ օգտատերերի և խանութների սպառնալիքների տեսանկյունից առավել բարդ դրության մեջ կհայտնվեն առանց չիպ բանկային քարտերի օգտատերերը և նրանք, ովքեր գործարքների ժամանակ չեն պահանջում երկգործոն հաստատում։ Այժմ չարագործների հանրության մի մասը կենտրոնացել է առավել հասարակ թիրախների վրա, որոնք փողի վերածելը հեշտ է։ Դա չի նշանակում, որ նրանք չեն օգտագործում որևէ բարդ հնարք։ Օրինակ՝ խարդախության դեմ լուծումների շրջանցման համար նրանք ամբողջապես պատճենում են համակարգչի և բրաուզերի բոլոր համակարգային պարամետրերը։ Մյուս կողմից՝ կիբեռհանցագործների նման վարքը բերելու է PoS-տերմինալների վրա գրոհների քանակի նվազեցման՝ տեղափոխվելով առցանց-վճարումների ընդունման հարթակների վրա գրոհների հարթություն։    

Ֆինանսական հաստատությունների կիբեռանվտանգության համակարգերի շրջանցում՝ ներքին ցանցին միացած ֆիզիկական սարքերի կիրառումով

Օգտվելով շատ ցանցերի ֆիզիկական անվտանգության անբավարար մակարդակից և միացվող սարքերի հսկողության բացակայությունից՝ կիբեռհանցագործները փորձելու են նման ցանցերի միացնել համակարգիչ կամ մինի-պլատա, որը հատուկ պատրաստված կլինի տվյալներ ձեռք գցելու և դրանք 4G/LTE-մոդեմի միջոցով հետագայում փոխանցելու համար։ Նման գրոհները չարագործներին հնարավորություն կտան հասանելի դարձնել տարբեր տվյալներ, այդ թվում՝ ֆինանսական հաստատությունների ցանցային ենթակառուցվածքի և հաճախորդների վերաբերյալ։

Իրավաբանական անձինք. գրոհներ մոբայլ բանկինգի վրա

Բիզնեսի համար շարժական հավելվածները մեծ տարածում են ստանում, և դա, ամենից հավանական է, կհանգեցնի դրանց օգտատերերի վրա առաջին գրոհներին։ Չարագործները դրա համար բավականաչափ գործիքներ ունեն, իսկ հնարավոր օգուտը նշանակալի բարձր է, քան ֆիզիկական անձանց դեպքում։ Առավել հավանական վեկտորներ են Web API-ի մակարդակով և մատակարարների շղթայի միջոցով գրոհները։

Առաջավոր սոցիալական ինժեներիայի արշավներ, որոնք կուղղվեն ընկերությունների դրամական փոխանցումների համար պատասխանատու անձնակազմին

Սոցիալական ինժեներիան հատկապես մեծ ժողովրդականություն է վայելում որոշակի տարածաշրջաններում, օրինակ, Լատինական Ամերիկայում։ Կիբեռհանցագործները կշարունակեն գրոհել ընկերությունների և ֆինանսական ինստիտուտներում աշխատող որոշակի մարդկանց՝ համոզելու համար, որ մեծ գումարի հաշիվը նրանք ստացել են բիզնես-գործընկերներից կամ կառավարիչներից։ Հաջողության հասնելու համար վնասաբեր ծրագրեր չպահանջող տեխնիկաները ավելի պահանջված կդառնան 2019 թվականին։ Դա վերաբերում է նաև «SIM swap» տիպի գրոհներին։

 

Թեգեր: financial, Kaspersky Lab