Menu dostępności

Malware w Bankach w 2018 roku – cz.I

W 2018 roku Dyrektor Europolu Rob Wainwright opowiadał w mediach o pracy międzynarodowej grupy roboczej koordynowanej przez swoją instytucje, która odniosła spektakularny sukces aresztując pięciu cyberprzestępców: „Ta sprawa pokazuje, że możliwe jest zwalczanie przestępczości wirtualnej w udany i zrównoważony sposób, jeśli wszystkie podmioty, takie jak sędziowie, śledczy i władza połączą swoje siły, pokonując kolejne ograniczenia.” Europol podał wtedy, że władze z sześciu krajów europejskich schwytały dużą grupę cyberprzestępczą na Ukrainie, podejrzaną o rozwój, wykorzystywanie i rozpowszechnianie znanych trojanów bankowych Zeus i SpyEye. Ten ostatni jest odpowiedzialny za 16% ataków wykonywanych przez malware w poprzednim roku.

Dziadkowie, źródło: nadegdino.ru

Według policji, pięciu zatrzymanych podejrzanych używało złośliwego oprogramowania do ataku na systemy bankowości w Europie, dostosowywali wyrafinowane trojany bankowe do stosowanych zabezpieczeń w bankach. Każdy cyberprzestępca miał swoją specjalizację, a cała grupa była zaangażowana w tworzenie złośliwego oprogramowania, infekowanie maszyn, zbieranie poświadczeń bankowych i pranie pieniędzy przez podstawionych ludzi.

W sumie, w ramach tej operacji, przez holenderskie organy ścigania, zostało aresztowanych 60 osób, w tym 34 „słupy”, które pomagały w praniu pieniędzy. Kilka nalotów miało także miejsce w trakcie długotrwałych dochodzeń w Belgii, Estonii, Finlandii, na Łotwie i w Holandii.

W cyfrowych podziemiach – na ukrytych forach, przestępcy aktywnie sprzedawali skradzione poświadczenia bankowe, złośliwe oprogramowanie i usługi hakerskie oraz szukali wspólników do innych cyberprzestępstw. Grupa przestępcza działała na wszystkich kontynentach, zarażając dziesiątki tysięcy komputerów trojanami bankowymi. Prokuratorzy twierdzą, że szkody można wycenić na co najmniej 2 mln euro.

Wainwright był dyrektorem Europolu przez prawie dziewięć lat (do maja 2018), w tym czasie spektakularne międzynarodowe akcje policji nie były w stanie zatrzymać ataków dokonywanych za pomocą złośliwego oprogramowania. Przez dwa ostatnie lata na świecie liczba odnotowywanych ataków miesięcznie oscyluje pomiędzy 70, a 140 tysięcy. 2017 był rokiem, w którym odnotowywaliśmy spadek, niemniej od pierwszego kwartału 2018 nastąpiła tendencja rosnąca. Poniżej odpowiedni wykres:

źródło: securelist.com; Ataki wykonywane przez bankowy malware w latach 2016-2018

Często na Hacku piszemy o malware. Poświęciliśmy złośliwemu oprogramowaniu całą kampanię. Jeżeli ktoś nie czytał, szczerze zachęcamy tutaj. Dzisiaj opiszemy poszczególne rodzaje bankowego malware, atakującego w 2018r. Statystyczne dane cytujemy za raportem o cyberzagrożeniach opublikowany jakiś czas temu przez portal securelist.com. Co jakiś czas informujemy, że pojawia się nowa mutacja dobrze znanego trojana. O Emotet-cie pisaliśmy tutaj. Co ciekawe zajmuje w rankingu bankowego malware szóste miejsce z 7% udziałem w rynku.

Zdecydowanie najwyżej na tej liście jest Zbot (26% udziału w rynku). To bardzo szkodliwy trojan, który jest używany do wykradania danych osobistych, takich jak hasła, loginy i inne prywatne informacje. Od razu, gdy wirus zaatakuje komputer, modyfikuje system i zaczyna zbierać informacje o klawiszach wciskanych przez swoją „ofiarę”. Zbot jest zbudowany z trzech części: z toolkitu, Trojana i serwera do kontroli. Eksperci twierdzą, że pierwszy element jest używany, aby stworzyć zagrożenie, drugi do zmodyfikowania zarażonego komputera, a trzeci, aby zapewnić pełną kontrolę nad wirusem. Właśnie dlatego, hakerzy mają możliwość łatwego patchowania Zbota oraz proste uzyskanie dostępu do zarażonego systemu.

W jaki sposób Zbot atakuje komputery? Zbot jest trojanem, który rozpowszechnia się głównie ze spamem. Najłatwiej zostać oszukanym nabierając się na fałszywą wiadomość, która wygląda jakby była wysłana przez firmę o dobrej reputacji. Takie fałszywe maile zazwyczaj traktują o nieistniejących e-biletach lotniczych, zgubionych listach lub paczkach pocztowych oraz podobnych rzeczach, które mają wzmóc ciekawość wśród odbiorców. Takie wiadomości mają w sobie link albo odnośnik, który prowadzi do ściągnięcia trojana. W dodatku, Zbot jest także rozpowszechniany przez niektóre strony internetowe oraz ataki hackerskie typu „drive-by”.

Poniżej udziały w rynku poszczególnych malware:

źródło: securelist.com; Ataki wykonywane przez poszczególne rodzaje malware w 2018 r.

O innym złośliwym kodzie w bankach napiszemy w drugiej części artykułu wkrótce…

Popularne

Koniec ery VPN? Jak sztuczna inteligencja zmienia krajobraz cyberzagrożeń i przyspiesza przejście do Zero Trust

Koniec ery VPN? Jak sztuczna inteligencja zmienia krajobraz cyberzagrożeń i przyspiesza przejście do Zero Trust

Przez ponad dwie dekady sieci VPN (Virtual Private Network) stanowiły podstawowy mechanizm zapewniający bezpieczny dostęp zdalny do zasobów przedsiębiorstw. W czasach, gdy większość pracowników wykonywa...
Accenture potwierdza wyciek danych

Accenture potwierdza wyciek danych

Accenture, obecny również w Polsce gigant usług profesjonalnych, potwierdziło naruszenie bezpieczeństwa danych po tym, jak haker przyznał się do kradzieży kodu źródłowego firmy. Accenture to przedsi...
FIFA i Broken Access Control. Jak konto bez uprawnień uzyskało dostęp do systemów Mistrzostw Świata 2026

FIFA i Broken Access Control. Jak konto bez uprawnień uzyskało dostęp do systemów Mistrzostw Świata 2026

16 czerwca, czyli zaledwie pięć dni po rozpoczęciu Mistrzostw Świata 2026, badaczka cyberbezpieczeństwa działająca pod pseudonimem „BobDaHacker” opisała na swoim blogu lukę odkrytą w systemach FIFA. Według...
Masowa kampania password spray wymierzona w Azure CLI

Masowa kampania password spray wymierzona w Azure CLI

Cyberprzestępcy prowadzą zakrojoną na szeroką skalę kampanię password spray, wymierzoną w środowiska Microsoft 365 za pośrednictwem Azure CLI, o czym informuje Huntress – firma zajmująca się cyberbezpiec...
External MFA w Microsoft Entra ID – koniec Custom Controls

External MFA w Microsoft Entra ID – koniec Custom Controls

MFA, czyli uwierzytelnianie wieloskładnikowe, opiera się na prostej zasadzie: samo hasło nie wystarcza. Po wpisaniu loginu i hasła użytkownik musi jeszcze potwierdzić swoją tożsamość drugim składniki...