攻击银行和金融机构的网络犯罪分子利用他们在被妥协的基础设施中的据点来获取其他地区或国家的类似目标。
在2月19日发布的一份报告中,专门防范网络攻击的国际安全公司Group-IB描述了一种所谓的跨境多米诺骨牌效应,这种效应会导致感染范围超出最初的目标数量。该报告基于该公司计算机取证专家团队于2018年开展的事故应对工作的信息的调查。
连锁攻击获得最大收益
各金融机构的事件响应活动表明,在某些情况下,攻hei击者利用他们的访问权限向其他银行和支付系统发送电子邮件。
案例:攻击者曾利用俄罗斯的一家银行向哈萨克斯坦的另一家银行发送网络钓鱼邮件。研究者在观察到链接攻击时发现,其他国家的组织也检测到了试图恶意访问其系统的信息。然后,网络犯罪分子利用哈萨克斯坦一家银行的基础设施进行网络钓鱼活动,试图感染格鲁吉亚的另一家银行。
虽然报告的重点是俄罗斯和东欧的公司,但是但Group-IB事件响应人员跟踪攻击者的踪迹,还找到了独立国家联合体(独联体)的目标。“一个以财务为动机的黑客组织总是寻求利益最大化:控制银行的系统目的不仅是从受损银行取钱,还要尽可能多地感染新的受害者。”取证实验室负责人Valery Baulin表示。
他解释说,连锁攻击造成的“多米诺骨牌效应”是一个危险的载体,因为黑客可以使用被入侵银行的合作伙伴公司的数据库。从合作伙伴组织和受信任来源收到电子邮件的收件人更有可能打开恶意附件。
俄罗斯的银行很容易成为目标
Group-IB 报告中的关键结论是:俄罗斯银行对网络攻击的准备不足,其中一半以上显示出过去非法侵入的迹象。去年Group-IB开展事件响应活动的公司中,有29%的公司在其网络基础设施上存在活跃的恶意软件,而内部IT安全服务对此一无所知。
非法获得金钱的方法仍保持不变:通过支付卡,假律师事务所账户,支付系统或直接从ATM取款的资金。然而,被盗现金的数量有所增加,黑客能够更快地运营:如果三年前需要花费25-30个小时才能获得300万美元,2018年他们在不到15分钟的时间里从俄罗斯的多个城市获得相同数量的现金。
根据安全专家的说法,黑客的成功部分“归功”于中央管理不善,事件记录和部门间合作不足。此外,缺乏明确的程序和IT专家对黑客事件的反应迟缓也加剧了问题。与Group-IB签约的银行中,有超过60%的银行拥有这方面的专业知识,因此该团队注意到,这些组织无法在短时间内启动密码更改过程。
网友评论