信息化觀察網(wǎng)

首先讓我們回顧一下2020年的關(guān)鍵事件，然后在對(duì)2021年金融組織面對(duì)的網(wǎng)絡(luò)威脅做出預(yù)測(cè)。

2020年的關(guān)鍵事件

針對(duì)Libra 和TON/Gram的攻擊：Libra是Facebook新推出的虛擬加密貨幣，不過(guò)Facebook本身就有數(shù)據(jù)泄漏的問(wèn)題，推出數(shù)字貨幣就可能激發(fā)黑客想要彰顯技術(shù)的心理。 Gram是Telegram基于TON區(qū)塊鏈系統(tǒng)的發(fā)行通用代幣，一方面,區(qū)塊鏈攻擊與互聯(lián)網(wǎng)攻擊是技術(shù)同源的，另一方面,區(qū)塊鏈攻擊的場(chǎng)景更加多元化,給黑客帶來(lái)了很多攻擊的想象。

倒賣銀行訪問(wèn)權(quán)限：黑市上有很多銀行訪問(wèn)權(quán)限的倒賣活動(dòng)，有的價(jià)格還很優(yōu)惠，賣家號(hào)稱可以提供對(duì)全球各家銀行的遠(yuǎn)程訪問(wèn)。通常，攻擊者利用一個(gè)或多個(gè)漏洞，然后將其轉(zhuǎn)售給具有財(cái)務(wù)動(dòng)機(jī)的黑客，包括有針對(duì)性的勒索軟件運(yùn)營(yíng)商。

針對(duì)銀行的勒索軟件攻擊：各種針對(duì)性的勒索軟件組織已經(jīng)攻擊了全世界的銀行，例如哥斯達(dá)黎加、智利和塞舌爾。這三個(gè)案件已被媒體報(bào)道，Maze組織對(duì)哥斯達(dá)黎加的襲擊事件負(fù)責(zé)，REvil (Sodinokibi)是智利襲擊事件的幕后主使。支付贖金的受害者不會(huì)出現(xiàn)在勒索軟件組織的列表中，沒(méi)有人能確定還有多少銀行遭到了有針對(duì)性的勒索軟件攻擊。

自定義木馬程序越來(lái)越多：一些網(wǎng)絡(luò)犯罪分子將投資新的特洛伊木馬程序和漏洞利用程序，作為其自定義工具操作的一部分。對(duì)于商業(yè)VPN提供商及其在客戶基礎(chǔ)架構(gòu)上運(yùn)行的設(shè)備的各種漏洞和利用，這種情況變得尤為可悲。另一方面，我們也看到黑客開(kāi)發(fā)了用于網(wǎng)絡(luò)偵察和數(shù)據(jù)收集的微型工具。

移動(dòng)銀行木馬的全球性泛濫：這個(gè)趨勢(shì)是攻擊發(fā)展的必然趨勢(shì)， Ginp，Ghimob，Anubis和Basbanke只是這一趨勢(shì)幾個(gè)有代表性的例子。順便說(shuō)一句，Anubis源代碼已被泄漏并在互聯(lián)網(wǎng)上發(fā)布。所以，這是攻擊移動(dòng)銀行系統(tǒng)的全球擴(kuò)張的另一個(gè)原因。

針對(duì)投資應(yīng)用程序： Ghimob就是一個(gè)很好的例子，Ghimob是卡巴斯基實(shí)驗(yàn)室于今年7月發(fā)現(xiàn)的一種新的Android銀行木馬，能夠從112個(gè)金融應(yīng)用程序中竊取數(shù)據(jù)。Ghimob旨在針對(duì)巴西、巴拉圭、秘魯、葡萄牙、德國(guó)、安哥拉和莫桑比克等國(guó)家和地區(qū)的銀行、金融科技公司、交易所和加密貨幣的金融應(yīng)用程序。如果我們將加密貨幣兌換應(yīng)用程序視為投資應(yīng)用程序，那么答案也是肯定的。但是，這些攻擊的規(guī)模尚目前還不是很大。

Magecart攻擊： Magecart的大規(guī)模擴(kuò)張令人印象深刻，你到處都可以找到它。Magecart為一專門鎖定電子商務(wù)網(wǎng)站的惡意軟件，它會(huì)在網(wǎng)站上注入Skimmer惡意程序代碼以竊取用戶的付款信息，受到許多黑客集團(tuán)的青睞，包括Keeper在內(nèi)。從2017年4月迄今，Keeper已經(jīng)成功滲透了全球55個(gè)國(guó)家的570個(gè)電子商務(wù)網(wǎng)站，而在2018年7月至2019年4月間，就盜走了18.4萬(wàn)張銀行卡信息，估計(jì)非法取得的銀行卡信息可能多達(dá)70萬(wàn)張。如今，它也成為盜取支付卡的各種團(tuán)體的首要選擇。例如， Lazarus攻擊者就通過(guò)使用Magecart代碼在其功能表中添加了數(shù)字支付卡讀取功能。

政治不穩(wěn)定導(dǎo)致網(wǎng)絡(luò)犯罪蔓延： 在新冠疫情期間，很多攻擊者不是借助新冠疫情的話題進(jìn)行網(wǎng)絡(luò)釣魚攻擊，就是尋找醫(yī)療機(jī)構(gòu)的漏洞對(duì)其發(fā)起攻擊。但是，全球擴(kuò)展是通過(guò)互聯(lián)網(wǎng)進(jìn)行的，利用了配置不佳和公開(kāi)的系統(tǒng)，例如，在易受攻擊或配置錯(cuò)誤的RDP協(xié)議上運(yùn)行等。

2020年的重大事件與新冠疫情危機(jī)相關(guān)的各種金融網(wǎng)絡(luò)攻擊

由于疫情的影響，很過(guò)公司都倉(cāng)促部署了遠(yuǎn)程工作解決方案，這樣一來(lái)安全性就降低了。實(shí)際上，有些人甚至沒(méi)有足夠的筆記本電腦來(lái)提供給員工。這樣員工就必須購(gòu)買在零售市場(chǎng)上發(fā)現(xiàn)的任何東西，即使這些設(shè)備不符合組織的安全標(biāo)準(zhǔn)。至少，這使企業(yè)得以運(yùn)轉(zhuǎn)。但是，那些配置不當(dāng)?shù)挠?jì)算機(jī)必須連接到遠(yuǎn)程系統(tǒng)，而這是公司沒(méi)有考慮到的安全問(wèn)題。缺乏員工培訓(xùn)，筆記本電腦的默認(rèn)配置沒(méi)有改變，加上容易受到攻擊的遠(yuǎn)程訪問(wèn)連接，使得包括有針對(duì)性的勒索軟件在內(nèi)的各種攻擊成為可能。

一旦建立了對(duì)組織的遠(yuǎn)程訪問(wèn)，惡意工具的使用就會(huì)增加，例如，從內(nèi)存中轉(zhuǎn)儲(chǔ)密碼，偵察受害者的網(wǎng)絡(luò)，以及在網(wǎng)絡(luò)內(nèi)部進(jìn)行橫向移動(dòng)。

巴西境內(nèi)的攻擊者擴(kuò)展到世界其他地區(qū)

巴西的網(wǎng)絡(luò)犯罪生態(tài)系統(tǒng)曾經(jīng)非常成熟，今年，我們看到其中一些惡意組織開(kāi)始將自己的攻擊業(yè)務(wù)擴(kuò)展到其他地區(qū)，目標(biāo)是歐洲和其他地方的受害者。排名前四的惡意軟件家族分別是Guildma，Javali，Melcoz，Grandoreiro。隨后Amavaldo，Lampion和Bizarro也加入到了這個(gè)隊(duì)伍中。說(shuō)到移動(dòng)銀行木馬的惡意軟件，Ghimob現(xiàn)在的目標(biāo)是拉丁美洲和非洲，而Basbanke則活躍在葡萄牙和西班牙。

PoS和ATM惡意軟件

針對(duì)ATM自動(dòng)取款機(jī)的惡意代碼家族Trojan/Win32.Prilex，其最初在2017年10月被披漏用于針對(duì)拉丁美洲葡萄牙語(yǔ)系A(chǔ)TM的攻擊活動(dòng)。通過(guò)對(duì)Prilex分析發(fā)現(xiàn)，惡意代碼使用Visual Basic 6.0（VB6）編寫，代碼中夾雜著“Ol?Jos?Boa tarde”等葡萄牙語(yǔ)，攻擊者偽造并替換ATM應(yīng)用程序屏幕，等待受害者輸入密碼，獲取受害者密碼信息后，將密碼等數(shù)據(jù)回傳到攻擊者的遠(yuǎn)端服務(wù)器。

Prilex家族會(huì)影響特定品牌的自動(dòng)取款機(jī)，這意味著攻擊者在實(shí)施惡意攻擊之前，需要對(duì)目標(biāo)進(jìn)行系列的滲透活動(dòng)。因此，Prilex家族是攻擊者在熟識(shí)目標(biāo)之后，針對(duì)目標(biāo)編寫設(shè)計(jì)的、具有針對(duì)性的惡意代碼。

臭名昭著的Prilex將自己定位為MaaS市場(chǎng)，并最近實(shí)施了重播攻擊。它還正在將目標(biāo)對(duì)準(zhǔn)PIN鍵盤通信。通常，Prilex將自己定位為一個(gè)黑客團(tuán)體，在ATM惡意軟件、PoS惡意軟件，DDoS服務(wù)、用于克隆支付卡的EMV軟件等方面具有多種技能。

一些ATM惡意軟件家族已經(jīng)經(jīng)過(guò)多次迭代，現(xiàn)在已經(jīng)包括RAT功能。其中一種是使用dnscat2屏蔽C2通信，繞過(guò)傳統(tǒng)的網(wǎng)絡(luò)檢測(cè)機(jī)制。

CESSO已經(jīng)成為MaaS的一種類型，現(xiàn)在的目標(biāo)是Diebold、Wincor和NCR的自動(dòng)取款機(jī)。它的目的是竊取美元、歐元、當(dāng)?shù)乩∶乐挢泿藕推渌泿?。代碼表明開(kāi)發(fā)人員的母語(yǔ)是葡萄牙語(yǔ)。

定向勒索是一種新常態(tài)，也是金融機(jī)構(gòu)面臨的主要威脅

由于網(wǎng)絡(luò)信息渠道和媒體的傳播速度的提高，很多企業(yè)的網(wǎng)絡(luò)安全事件和信息泄漏會(huì)在幾分鐘之內(nèi)傳遍整個(gè)世界。因此很多勒索組織就威脅企業(yè)，如果不及時(shí)支付贖金就將信息泄漏出去。這一攻擊趨勢(shì)很重要，因?yàn)樗辉倥c數(shù)據(jù)加密有關(guān)，而是與泄漏從受害者網(wǎng)絡(luò)中泄漏的機(jī)密信息有關(guān)。由于支付卡行業(yè)的安全性和其他規(guī)定，這樣的泄漏可能會(huì)導(dǎo)致重大的財(cái)務(wù)損失。

關(guān)于勒索軟件的另一個(gè)關(guān)鍵點(diǎn)是，今年已經(jīng)看到它利用人為因素作為初始感染媒介。關(guān)于試圖感染特斯拉的案例就是一個(gè)很好的例子。當(dāng)涉及到非常引人注目的目標(biāo)時(shí)，攻擊者就會(huì)毫不猶豫地花費(fèi)時(shí)間和資源在MICE框架（金錢，意識(shí)形態(tài)，妥協(xié)和自我）中工作，以進(jìn)入受害者的網(wǎng)絡(luò)。

不幸的是，勒索軟件的故事還沒(méi)有結(jié)束。 Lazarus組織已與VHD勒索軟件家族一起嘗試了這一大型游戲。這引領(lǐng)了新一輪攻擊趨勢(shì)，其他APT攻擊者也緊隨其后，其中包括MuddyWater。MuddyWater 活動(dòng)是 在2017年底被觀察到的。

2021年的預(yù)測(cè)

在繼續(xù)進(jìn)行2021年的預(yù)測(cè)之前，要先聲明一下，即我們?cè)?020年所看到的大多數(shù)威脅將在明年持續(xù)存在。例如，目標(biāo)勒索軟件將保持相關(guān)性。以下是我們預(yù)計(jì)在來(lái)年會(huì)出現(xiàn)的新的攻擊趨勢(shì)：

新冠疫情大流行很可能會(huì)造成大規(guī)模的貧困浪潮，并且不可避免地轉(zhuǎn)化為更多的人訴諸包括網(wǎng)絡(luò)犯罪在內(nèi)的犯罪。我們可能會(huì)看到某些經(jīng)濟(jì)崩潰和當(dāng)?shù)刎泿趴焖儋H值，這將使比特幣盜竊更具吸引力。由于這種加密貨幣是最受歡迎的加密貨幣，我們應(yīng)該預(yù)期會(huì)有更多的欺詐行為，主要針對(duì)比特幣。

MageCart攻擊轉(zhuǎn)移到服務(wù)器端，我們可以看到，依靠客戶端攻擊（JavaScript）的攻擊者的數(shù)量每天都在減少。我們有理由相信，攻擊將會(huì)出現(xiàn)向服務(wù)器端的轉(zhuǎn)移。

網(wǎng)絡(luò)犯罪生態(tài)系統(tǒng)內(nèi)部運(yùn)營(yíng)的重新整合和內(nèi)部化：網(wǎng)絡(luò)犯罪市場(chǎng)上的主要參與者和獲利豐厚的企業(yè)將主要依靠自己的內(nèi)部開(kāi)發(fā)，從而減少外包以提高利潤(rùn)。

來(lái)自遭受經(jīng)濟(jì)制裁的國(guó)家的高級(jí)攻擊者可能更多地依賴于仿效網(wǎng)絡(luò)犯罪分子的勒索軟件，他們可以重用已經(jīng)可用的代碼，也可以從頭開(kāi)始創(chuàng)建自己的攻擊程序。