روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ سال 2020 سال سختی بود و هنوز نمی‌شود باور کرد تقریباً یک سالی هست که کل جهان درگیر پاندمی ویروس کرونا شده است. در این مقاله قصد داریم ابتدا نگاهی داشته باشیم بر پیش‌بینی‌هایی که در سال 2020 داشتیم (ببینیم چقدر این پیش‌بینی‌ها دقیق بودند)، سپس قرار است برویم سراغ رویدادهای کلیدی سال 2020 که به حملات مالی مربوط می‌شدند و در نهایت پیش‌بینی‌هایی خواهیم داشت در خصوص حملات مالی سال 2021. با ما همراه شوید.

تحلیل پیش‌بینی‌های 2020

•         حملاتی علیه رمزارزهای  Libra و TON/Gram: نمی‌شود به این سادگی‌ها توضیحش داد؛ موضوع کمی پیچیده است. از اینها گذشته، Libra هنوز منتشر نشده؛ بنابراین چشم‌اندازهای این حملات هنوز هم نامشخص است؛ و البته پروژه  Gram هم که لغو شد پس در این خصوص هم اصلاً جایی برای حملات سایبری نمی‌ماند.
•         فروش مجدد دسترسی بانک: بله، متأسفانه حقیقت دارد. بازاری کلی با بی‌نهایت آفر وجود دارد که به تعداد زیادی بانک در سراسر جهان دسترسی دارد. معمولاً، مهاجمین یک یا بیش از یک آسیب‌پذیری را اکسپلویت می‌کنند و بعد دسترسی را به عاملین تهدید که هدفشان بخش مالی است مجدداً می‌فروشند (به عنوان مثال اپراتورهای باج‌افزار).
•         حملات هدفمند باج‌افزاری علیه بانک‌ها: بله، این هم حقیقت تلخی دیگر. بسیاری از گروه‌های هدفمند باج‌افزاری در سراسر جهان به بانک‌ها حمله کردند (برای مثال در کشورهای کاستاریکا، شیلی و سیشل). این سه مورد رسانه‌ای شدند؛ اما کشورهای دیگری نیز در خفا قربانی شدند. گروه Maze مسئولیت حمله به بانک‌های کاستاریکا را بر عهده گرفت؛ این درحالیست که  REvil (Sodinokibi) دست‌های پشت پرده‌ی حمله‌ در شیلی بود. هیچ‌کس نمی‌تواند مطمئن باشد چند بانک دیگر در سراسر جهان مورد حمله‌ی این حملات هدفمند باج‌افزاری قرار گرفته‌اند.
•         بازگشت ابزارهای سفارشی: بله، همانطور که سال گذشته پیش‌بینی کردیم برخی از مجرمان سایبری روی تروجان‌ها و اکسپلویت‌های جدید به عنوان بخشی از اپراتورهای ابزار سفارشی خود سرمایه‌گذاری می‌کنند. حال وجود آسیب‌پذیری‌ها و اکسپلویت‌های ارائه‌دهندگان تجاری وی‌پی‌ان و دستگاه‌هایی که روی زیرساخت‌های مشتری اجرا می‌شوند را نیز به ماجرا اضافه کنید. جدا از این بخش، همچنین شاهد این بوده‌ایم که مجرمان سایبری برای شناسایی شبکه و جمع‌آوری داده ابزارهای کوچکی را می‌سازند.
•         گسترش جهانی تروجان‌های بانکی موبایل: بله، درست است؛ Ginp، Ghimob، Anubis و Basbanke تنها چند نمونه‌ از این ترند هستند. به هر روی، کد منبع Anubis نشت داده شده و حالا روی اینترنت منتشر گشته است. پس این هم شد علت دیگری از گسترش جهانی حملات علیه سیستم‌های بانکی موبایل.
•         اپ‌های هدفمند سرمایه‌گذاری: تا حدی درست است؛ خانواده‌ی Ghimob نمونه‌ی خوبی می‌تواند باشد. اگر بخواهیم اپ‌های تبادل رمزارز را اپ‌های سرمایه‌گذاری حساب کنیم، پس جواب یک «بله» محکم است. با این حال، مقیاس این حملات هنوز گسترده نشده است.
•         Magecarting 3.0: بله، گسترش Magecart چشمگیر بوده است. شما می‌توانید آن را هر جایی بیابید. امروز، Magecart همچنین چتری شده است برای گروه‌های مختلفی که کارشان جمع کردن کارت‌های پرداختی است. برای مثال، گفته می‌شود عامل تهدید لازاروس با استفاده از کد  Magecart به لیست خود اسکیمینگِ کارت پرداختی را هم اضافه کرده است.
•         عدم ثبات سیاسی به شیوع جرایم سایبری منجر می‌شود: نه (تا حدی). وضعیت کرونا و قرنطینه‌هایی که سراسر دنیا اعمال شد نگذاشت مردم آزادانه سفر کنند. این دلیل اصلی‌ است که چرا این پیش‌بینی کاملاً هم محقق نشده است. با این حال، توسعه‌های جهانی دارد از طریق اینترنت رخ می‌دهد و همین قصیه باعث شده تا مجرمان سایبری از سیستم‌های آسیب‌پذیر با تنظیمات ضعیفی که دارند (پروتکل‌های آسیب‌پذیر RDP را از قلم نیاندازیم) نهایت سوءاستفاده را بکنند.

رویدادهای کلیدی سال 2020

•         هر نوع حمله سایبری مالی به بحران کووید 19 ربط پیدا می‌کند

شرکت‌ها به دلیل دورکاری زودهنگام و از قبل پیش‌بینی‌نشده، راهکارهای ریموت‌شان بسیار ضعیف است. برخی در واقع حتی لپ‌تاپ کافی نداشتند که به کارمندان خود بدهند؛ باید هرچه در بازار پیدا می‌کردند را می‌خریدند حتی اگر این دستگاه‌ها با استانداردهای امنیتی سازمانی تطابق نداشتند. آن‌ها معتقد بودند دست کم کار شرکت دارد راه می‌افتد! با این حال، آن دستگاه‌های مجهز به تنظیمات ضعیف می‌بایست به سیستم‌های ریموت وصل می‌شدند (چیزی که برایش آمادگی نداشتند). نبود برنامه‌های آموزشی برای کارمندان، بی‌تغییر ماندن تنظیمات پیش‌فرض لپ‌تاپ‌ها و کانکشن‌های ضعیف دسترسی ریموت همگی راهی باز می‌کنند برای ورود چنین جملاتی (از جمله باج‌افزارهای هدفمند). تعداد ابزارهای «تیم قرمز[1]» که زمانی برای دسترسی ریموت به سازمان‌ها استفاده می‌شدند رو به افزایش است (با این ابزارها دیگر نیازی به حفظ کردن پسوردها، شناسایی شبکه قربانی و ایجاد حرکت‌های جانبی در شبکه نبود).

•         بدافزارهای PoS و ATM

Prilex بدنام، خود را به عنوان یک بازار MaaS معرفی کرده و اخیراً دست به حمله بازپخش[2] زده است. همچنین قصد کرده ارتباطات دستگاه‌های پوز را نیز مورد هدف قرار دهد. در کل، Prilex خود را گروه هکی می‌داند که مهارت‌های بسیاری در انتقال بدافزار ATM، بدافزار PoS ، سرویس‌های DDoS، نرم‌افزارهای EMV برای شبیه‌سازی پرداخت‌ها و غیره دارد. برخی از خانواده‌های بدافزار ATM اکنون رشد نیز کرده‌اند و قابلیت RAT را نیز در خود دارند. یکی از آن‌ها برای ماسکه کردن ارتباطات C2 و دور زدن ساز و کارهای سنتی شناسایی شبکه از dnscat2 استفاده می‌کند. CESSO به نوعی MaaS تبدیل شده و اکنون در حال حمله به ATM‌های Diebold، Wincor و NCR است. CESSO طوری طراحی شده تا بتواند دلارهای آمریکا، یورو و ارزهای محلی آمریکای لاتین و غیره را سرقت کند. این کد نشان می‌دهد زبان مادری توسعه‌دهنده پرتغالی است.

•         باج‌افزار هدفمند عُرف جدید و بخشی از مدل‌های تهدید سازمان‌های مالی محسوب می‌شود

عاملین تهدیدِ پشت حملات هدفمند باج‌افزاری -که موفقیت‌های پیاپی جسورشان کرده و پوشش عالی رسانه‌ای نیز می‌شوند- به طور نظام‌مندی مبالغ باج خود را در ازای منتشر نکردن اطلاعات سرقتی بالا برده‌اند. این نکته‌ی بسیار مهمی است زیرا دیگر بحث سر رمزگذاری داده‌ها نیست؛ بلکه بحث سر افشای اطلاعات محرمانه‌ که از شبکه قربانی استخراج شده است. به دلیل امنیت صنعت کارت‌های پرداختی و سایر رگولاسیون‌ها، نشتی‌های این چنینی شاید به خسران‌های مالی قابل‌ملاحظه‌ای منجر شوند. نکته مهم دیگر در خصوص باج‌افزار اینکه در سال 2020 عامل انسانی اولین بُردار آلودگی در اکسپلویت‌ها شناخته شد؛ مصداقش هم حمله به تسلا. وقتی صحبت از تارگت‌های برجسته و دانه‌درشت به میان می‌آید، عاملین تهدید لحظه‌ای برای صرف کردن وقت و انرژی خود روی فریم‌ورک‌های MICE (Money، Ideology، Compromise و Ego) برای نفوذ به شبکه‌های قربانیان درنگ نمی‌کنند. متأسفانه، ماجرای باج‌افزارها به همینجا ختم نمی‌شود؛ گروه لازاروس با خانواده باج‌افزار VHD دست به کارهای خطرناک‌تری زد و همین اقدام بود که بسیار سر و صدا کرده موجب شد سایر عاملین تهدید APT نیز از این متود تبعیت کنند (نمونه‌اش MuddyWater).

پیش‌بینی‌های سال 2021

پیش از اینکه به پیش‌بینی‌های 2021 بپردازیم ابتدا مهم است به این مسئله اشاره کنیم که بیشتر تهدیدهای سال 2020 هنوز فعالند و ممکن است سال 2021 نیز شاهد آن‌ها باشیم. برای مثال، باج‌افزار هدفمند هنوز هم حمله‌ای فعال در سال جدید میلادی خواهد بود. و حالا پیش‌بینی‌های 2021 که بدون ترتیب خاصی فهرست شده‌اند:

•         پاندمی کووید 19 احتمالاً موج جدیدی از فقر همگانی را در سال جدید دربرخواهد داشت و این یعنی افراد بیشتری قرار است به جرم و جنایات (از جمله جرایم سایبری) روی آورند. همچنین پیش‌بینی می‌کنیم که برخی از اقتصادها و ارزهای محلی سقوط کند و همین شاید سرقت بیت‌کوین را جذاب‌تر از قبل نیز بکند. کلاهبرداری‌ها و فریبکاری‌ها نیز در سال 2021 بیشتر خواهد شد. در این میان بیشتر بیت‌کوین مورد حمله قرار خواهد گرفت (زیرا این رمزارز اکنون به بالاترین حد محبوبیت خود رسیده است).
•         حملات MageCart نیز دارد سمت و سوی سرورها می‌رود. پیش‌بینی می‌کنیم تعداد عاملین تهدید که تکیه‌شان بر حملات سمت کلاینت (جاوااسکریپت) روز به روز کمتر شود. به نظر منطقی می‌آید که فکر کنیم به سمت سرور شاهد شیفتی عظیم خواهیم بود.
•         یکپارچه‌سازی مجدد و داخلی‌سازی عملیات‌های داخل اکوسیستم جرایم سایبری: مهره‌های اصلی بازار جرایم سایبری و آن دسته از افرادی که به حد کافی سود بردند بیشتر به توسعه داخلی خود تکیه خواهند داشت (همین برون‌سپاری برای افزایش سود را نیز کاهش خواهد داد).
•         عاملین تهدیدهای پیشرفته در کشورهایی که تحت تحریم‌های اقتصادی هستند ممکن است بیشتر تکیه‌شان بر باج‌افزاری باشد که کارشان تقلید کارهای مجرمان سایبری است. آن‌ها شاید از کد از پیش آماده (مجدداً) استفاده کنند و یا صفر تا صد کمپین خود را بسازند.
•         با توجه به سود عظیمی که گروه‌های باج‌افزاری برده‌اند اینطور پیش‌بینی می‌کنیم که در حملات آتی از اکسپلویت‌های روز صفر و نیز روزهای N استفاده شود. آن‌ها هر دوی این اکسپلویت‌ها را هم برای گسترش بیشتر مقیاس حملات خود و نیز افزایش احتمال موفقیت‌شان (که سود بیشتری را برایشان رقم خواهد زد) خریداری خواهند کرد.
•         سختگیری بیشتر در برابر جهان جرایم سایبری. سال 2020 آژانس OFAC اعلام کرد که هر مبلغ باجی که به گروه‌های باج‌افزاری داده شود مورد نظارت قرار می‌دهند. سپس US Cyber Command نیز موقتاً پیش از انتخابات جلوی تروجان Trickbot را گرفت. احتمال می‌رود شاهد گسترش استراتژی «مشارکت مداوم[3]» در بخش جرم و جنایات مالی باشیم. همچنین پیش‌بینی می‌کنیم که بر مؤسسات، سرزمین‌ها یا حتی کشورهایی که به نظر توان رویارویی و مدیریت جرایم سایبری را نداشته‌اند تحریم‌هایی اعمال شود.
•         ما با قابلیت‌های فنی و تخصصی خود در بخش نظارت، پاکسازی داده‌ها و ضبطِ در جای اکانت‌های بیت‌کوین چنین گمان می‌کنیم که مجرمان سایبری برای چاپیدن قربانیان به رمزارزهای دیگری همچون Monero روی آورند؛ دلیلش هم این است که بتوانند پول‌ها را به هر رمزارز دیگری که دوست دارند از جمله بیت‌کوین تبدیل کنند.
•         رشد اخاذی‌ها. مجرمان سایبری که کارشان هدف قرار دادن دارایی‌های مالی است یک جورهایی دارند به اخاذی کردن عادت می‌کنند. حالا اگر انتخابشان باج‌افزار نباشد از DDoS (و یا هر دو) استفاده خواهند کرد.

[1] red team

[2] Replay attack

[3] persistent engagement

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.