Sektor finansowy na celowniku ransomware’u

Globalne działania cyberprzestępców

Osoby odpowiedzialne za bezpieczeństwo w instytucjach finansowych powinny mieć świadomość mechanizmów zagrożeń. Co ważne – także tych, które nie są już aktywne. Pozwala to lepiej zrozumieć cykl ewolucji ryzyka. Jest to bardzo istotne: analitycy z laboratorium FortiGuard firmy Fortinet wskazują, że kiedy jedno złośliwe narzędzie przestaje być aktywne, na jego miejsce przybywa kilka kolejnych.

Silence Group jest jedną z cyberprzestępczych grup, która szczególnie interesuje się instytucjami finansowymi w Rosji i Europie Wschodniej, chociaż jej infrastruktura została już rozszerzona o Australię, Kanadę, Francję, Irlandię, Hiszpanię, Szwecję i Stany Zjednoczone. Grupa ta systematycznie rozwija swoje narzędzia i sposoby ataków. W ostatnim czasie zastosowała np. taktykę „living off the land” – czyli „życia z pracy na roli”, która polega na wykorzystaniu zainstalowanych i publicznie dostępnych zasobów oraz narzędzi, takich jak np. PowerShell. – Pozwala to przyspieszyć poruszanie się po sieci, a jednocześnie zmniejszyć wykrywalność dzięki wykorzystaniu procesów zidentyfikowanych wcześniej jako legalne – tłumaczy Wojciech Ciesielski, menedżer Fortinet ds. sektora finansowego.

Stosując metodę tzw. spear phishingu (spersonalizowanego phishingu, czyli wyłudzania informacji od konkretnej, obranej za cel, osoby lub instytucji), Silence Group jest w stanie naruszyć bezpieczeństwo banków za pośrednictwem poczty elektronicznej. Przestępcy zbierają w ten sposób dane finansowe i następnie dokonują zdalnej wypłaty pieniędzy z bankomatów – tzw. jackpotting. Grupa ta przygotowała również własne, modularne narzędzia, dzięki którym można zaatakować różne konkretne obszary (serwery pośredniczące w transakcji, systemy monitorujące oraz sam moduł bankomatu).

Innym istotnym zagrożeniem dla instytucji finansowych było w ostatnim czasie złośliwe oprogramowanie Emotet. Odnotowano kilka nowych kampanii z jego udziałem, w których wykorzystane były moduły odpowiedzialne za kradzieży informacji, a także infekujące komputery użytkowników złośliwym kodem bankowych koni trojańskich i ransomware.