信息化觀察網(wǎng)

首先讓我們回顧一下2020年的關(guān)鍵事件，然后在對2021年金融組織面對的網(wǎng)絡(luò)威脅做出預(yù)測。

2020年的關(guān)鍵事件

針對Libra 和TON/Gram的攻擊：Libra是Facebook新推出的虛擬加密貨幣，不過Facebook本身就有數(shù)據(jù)泄漏的問題，推出數(shù)字貨幣就可能激發(fā)黑客想要彰顯技術(shù)的心理。 Gram是Telegram基于TON區(qū)塊鏈系統(tǒng)的發(fā)行通用代幣，一方面,區(qū)塊鏈攻擊與互聯(lián)網(wǎng)攻擊是技術(shù)同源的，另一方面,區(qū)塊鏈攻擊的場景更加多元化,給黑客帶來了很多攻擊的想象。

倒賣銀行訪問權(quán)限：黑市上有很多銀行訪問權(quán)限的倒賣活動，有的價格還很優(yōu)惠，賣家號稱可以提供對全球各家銀行的遠(yuǎn)程訪問。通常，攻擊者利用一個或多個漏洞，然后將其轉(zhuǎn)售給具有財(cái)務(wù)動機(jī)的黑客，包括有針對性的勒索軟件運(yùn)營商。

針對銀行的勒索軟件攻擊：各種針對性的勒索軟件組織已經(jīng)攻擊了全世界的銀行，例如哥斯達(dá)黎加、智利和塞舌爾。這三個案件已被媒體報道，Maze組織對哥斯達(dá)黎加的襲擊事件負(fù)責(zé)，REvil (Sodinokibi)是智利襲擊事件的幕后主使。支付贖金的受害者不會出現(xiàn)在勒索軟件組織的列表中，沒有人能確定還有多少銀行遭到了有針對性的勒索軟件攻擊。

自定義木馬程序越來越多：一些網(wǎng)絡(luò)犯罪分子將投資新的特洛伊木馬程序和漏洞利用程序，作為其自定義工具操作的一部分。對于商業(yè)VPN提供商及其在客戶基礎(chǔ)架構(gòu)上運(yùn)行的設(shè)備的各種漏洞和利用，這種情況變得尤為可悲。另一方面，我們也看到黑客開發(fā)了用于網(wǎng)絡(luò)偵察和數(shù)據(jù)收集的微型工具。

移動銀行木馬的全球性泛濫：這個趨勢是攻擊發(fā)展的必然趨勢， Ginp，Ghimob，Anubis和Basbanke只是這一趨勢幾個有代表性的例子。順便說一句，Anubis源代碼已被泄漏并在互聯(lián)網(wǎng)上發(fā)布。所以，這是攻擊移動銀行系統(tǒng)的全球擴(kuò)張的另一個原因。

針對投資應(yīng)用程序： Ghimob就是一個很好的例子，Ghimob是卡巴斯基實(shí)驗(yàn)室于今年7月發(fā)現(xiàn)的一種新的Android銀行木馬，能夠從112個金融應(yīng)用程序中竊取數(shù)據(jù)。Ghimob旨在針對巴西、巴拉圭、秘魯、葡萄牙、德國、安哥拉和莫桑比克等國家和地區(qū)的銀行、金融科技公司、交易所和加密貨幣的金融應(yīng)用程序。如果我們將加密貨幣兌換應(yīng)用程序視為投資應(yīng)用程序，那么答案也是肯定的。但是，這些攻擊的規(guī)模尚目前還不是很大。

Magecart攻擊： Magecart的大規(guī)模擴(kuò)張令人印象深刻，你到處都可以找到它。Magecart為一專門鎖定電子商務(wù)網(wǎng)站的惡意軟件，它會在網(wǎng)站上注入Skimmer惡意程序代碼以竊取用戶的付款信息，受到許多黑客集團(tuán)的青睞，包括Keeper在內(nèi)。從2017年4月迄今，Keeper已經(jīng)成功滲透了全球55個國家的570個電子商務(wù)網(wǎng)站，而在2018年7月至2019年4月間，就盜走了18.4萬張銀行卡信息，估計(jì)非法取得的銀行卡信息可能多達(dá)70萬張。如今，它也成為盜取支付卡的各種團(tuán)體的首要選擇。例如， Lazarus攻擊者就通過使用Magecart代碼在其功能表中添加了數(shù)字支付卡讀取功能。

政治不穩(wěn)定導(dǎo)致網(wǎng)絡(luò)犯罪蔓延： 在新冠疫情期間，很多攻擊者不是借助新冠疫情的話題進(jìn)行網(wǎng)絡(luò)釣魚攻擊，就是尋找醫(yī)療機(jī)構(gòu)的漏洞對其發(fā)起攻擊。但是，全球擴(kuò)展是通過互聯(lián)網(wǎng)進(jìn)行的，利用了配置不佳和公開的系統(tǒng)，例如，在易受攻擊或配置錯誤的RDP協(xié)議上運(yùn)行等。

2020年的重大事件與新冠疫情危機(jī)相關(guān)的各種金融網(wǎng)絡(luò)攻擊

由于疫情的影響，很過公司都倉促部署了遠(yuǎn)程工作解決方案，這樣一來安全性就降低了。實(shí)際上，有些人甚至沒有足夠的筆記本電腦來提供給員工。這樣員工就必須購買在零售市場上發(fā)現(xiàn)的任何東西，即使這些設(shè)備不符合組織的安全標(biāo)準(zhǔn)。至少，這使企業(yè)得以運(yùn)轉(zhuǎn)。但是，那些配置不當(dāng)?shù)挠?jì)算機(jī)必須連接到遠(yuǎn)程系統(tǒng)，而這是公司沒有考慮到的安全問題。缺乏員工培訓(xùn)，筆記本電腦的默認(rèn)配置沒有改變，加上容易受到攻擊的遠(yuǎn)程訪問連接，使得包括有針對性的勒索軟件在內(nèi)的各種攻擊成為可能。

一旦建立了對組織的遠(yuǎn)程訪問，惡意工具的使用就會增加，例如，從內(nèi)存中轉(zhuǎn)儲密碼，偵察受害者的網(wǎng)絡(luò)，以及在網(wǎng)絡(luò)內(nèi)部進(jìn)行橫向移動。

巴西境內(nèi)的攻擊者擴(kuò)展到世界其他地區(qū)

巴西的網(wǎng)絡(luò)犯罪生態(tài)系統(tǒng)曾經(jīng)非常成熟，今年，我們看到其中一些惡意組織開始將自己的攻擊業(yè)務(wù)擴(kuò)展到其他地區(qū)，目標(biāo)是歐洲和其他地方的受害者。排名前四的惡意軟件家族分別是Guildma，Javali，Melcoz，Grandoreiro。隨后Amavaldo，Lampion和Bizarro也加入到了這個隊(duì)伍中。說到移動銀行木馬的惡意軟件，Ghimob現(xiàn)在的目標(biāo)是拉丁美洲和非洲，而Basbanke則活躍在葡萄牙和西班牙。

PoS和ATM惡意軟件

針對ATM自動取款機(jī)的惡意代碼家族Trojan/Win32.Prilex，其最初在2017年10月被披漏用于針對拉丁美洲葡萄牙語系A(chǔ)TM的攻擊活動。通過對Prilex分析發(fā)現(xiàn)，惡意代碼使用Visual Basic 6.0（VB6）編寫，代碼中夾雜著“Ol?Jos?Boa tarde”等葡萄牙語，攻擊者偽造并替換ATM應(yīng)用程序屏幕，等待受害者輸入密碼，獲取受害者密碼信息后，將密碼等數(shù)據(jù)回傳到攻擊者的遠(yuǎn)端服務(wù)器。

Prilex家族會影響特定品牌的自動取款機(jī)，這意味著攻擊者在實(shí)施惡意攻擊之前，需要對目標(biāo)進(jìn)行系列的滲透活動。因此，Prilex家族是攻擊者在熟識目標(biāo)之后，針對目標(biāo)編寫設(shè)計(jì)的、具有針對性的惡意代碼。

臭名昭著的Prilex將自己定位為MaaS市場，并最近實(shí)施了重播攻擊。它還正在將目標(biāo)對準(zhǔn)PIN鍵盤通信。通常，Prilex將自己定位為一個黑客團(tuán)體，在ATM惡意軟件、PoS惡意軟件，DDoS服務(wù)、用于克隆支付卡的EMV軟件等方面具有多種技能。

一些ATM惡意軟件家族已經(jīng)經(jīng)過多次迭代，現(xiàn)在已經(jīng)包括RAT功能。其中一種是使用dnscat2屏蔽C2通信，繞過傳統(tǒng)的網(wǎng)絡(luò)檢測機(jī)制。

CESSO已經(jīng)成為MaaS的一種類型，現(xiàn)在的目標(biāo)是Diebold、Wincor和NCR的自動取款機(jī)。它的目的是竊取美元、歐元、當(dāng)?shù)乩∶乐挢泿藕推渌泿拧４a表明開發(fā)人員的母語是葡萄牙語。

定向勒索是一種新常態(tài)，也是金融機(jī)構(gòu)面臨的主要威脅

由于網(wǎng)絡(luò)信息渠道和媒體的傳播速度的提高，很多企業(yè)的網(wǎng)絡(luò)安全事件和信息泄漏會在幾分鐘之內(nèi)傳遍整個世界。因此很多勒索組織就威脅企業(yè)，如果不及時支付贖金就將信息泄漏出去。這一攻擊趨勢很重要，因?yàn)樗辉倥c數(shù)據(jù)加密有關(guān)，而是與泄漏從受害者網(wǎng)絡(luò)中泄漏的機(jī)密信息有關(guān)。由于支付卡行業(yè)的安全性和其他規(guī)定，這樣的泄漏可能會導(dǎo)致重大的財(cái)務(wù)損失。

關(guān)于勒索軟件的另一個關(guān)鍵點(diǎn)是，今年已經(jīng)看到它利用人為因素作為初始感染媒介。關(guān)于試圖感染特斯拉的案例就是一個很好的例子。當(dāng)涉及到非常引人注目的目標(biāo)時，攻擊者就會毫不猶豫地花費(fèi)時間和資源在MICE框架（金錢，意識形態(tài)，妥協(xié)和自我）中工作，以進(jìn)入受害者的網(wǎng)絡(luò)。

不幸的是，勒索軟件的故事還沒有結(jié)束。 Lazarus組織已與VHD勒索軟件家族一起嘗試了這一大型游戲。這引領(lǐng)了新一輪攻擊趨勢，其他APT攻擊者也緊隨其后，其中包括MuddyWater。MuddyWater 活動是 在2017年底被觀察到的。

2021年的預(yù)測

在繼續(xù)進(jìn)行2021年的預(yù)測之前，要先聲明一下，即我們在2020年所看到的大多數(shù)威脅將在明年持續(xù)存在。例如，目標(biāo)勒索軟件將保持相關(guān)性。以下是我們預(yù)計(jì)在來年會出現(xiàn)的新的攻擊趨勢：

新冠疫情大流行很可能會造成大規(guī)模的貧困浪潮，并且不可避免地轉(zhuǎn)化為更多的人訴諸包括網(wǎng)絡(luò)犯罪在內(nèi)的犯罪。我們可能會看到某些經(jīng)濟(jì)崩潰和當(dāng)?shù)刎泿趴焖儋H值，這將使比特幣盜竊更具吸引力。由于這種加密貨幣是最受歡迎的加密貨幣，我們應(yīng)該預(yù)期會有更多的欺詐行為，主要針對比特幣。

MageCart攻擊轉(zhuǎn)移到服務(wù)器端，我們可以看到，依靠客戶端攻擊（JavaScript）的攻擊者的數(shù)量每天都在減少。我們有理由相信，攻擊將會出現(xiàn)向服務(wù)器端的轉(zhuǎn)移。

網(wǎng)絡(luò)犯罪生態(tài)系統(tǒng)內(nèi)部運(yùn)營的重新整合和內(nèi)部化：網(wǎng)絡(luò)犯罪市場上的主要參與者和獲利豐厚的企業(yè)將主要依靠自己的內(nèi)部開發(fā)，從而減少外包以提高利潤。

來自遭受經(jīng)濟(jì)制裁的國家的高級攻擊者可能更多地依賴于仿效網(wǎng)絡(luò)犯罪分子的勒索軟件，他們可以重用已經(jīng)可用的代碼，也可以從頭開始創(chuàng)建自己的攻擊程序。