卡巴斯基全球研究与分析团队持续监控针对金融行业的已知和新兴网络威胁,其中银行和金融科技公司是最主要的攻击目标。该项目还密切关注旨在渗透更广泛行业范围的威胁,即出于财务动机的勒索软件家族。这些观察结果作为卡巴斯基安全公告的一部分,有助于预测金融网络威胁格局在一年中将如何变化。本报告概述了他们预计将面临的显著攻击趋势,以帮助企业和个人防范这些威胁。首先,回顾了他们对2024年的预测,看看它们是否应验,探讨当年金融网络威胁格局中的关键事件,然后尝试预测2025年的趋势。
2024年预测的准确性如何?
1.人工智能驱动的网络攻击增加✅ 准确
预测认为,利用机器学习工具的网络攻击将会激增,这一预测应验了。2024年,我们目睹了人工智能助力的网络攻击不仅通过电子邮件、被操纵的广告、钓鱼攻击(约21%的钓鱼邮件现在由人工智能生成)和其他内容出现,而且还成为绕过生物识别认证的有效手段。犯罪分子利用机器学习工具,使用泄露的数据开设新账户,冒充受害者并绕过客户身份验证(KYC)流程中使用的安全机制,操纵和改变面部、视频、图片等。像Gringo 171这样的威胁行为者专门开发这些工具,并将其出售给任何对绕过生物识别认证感兴趣的犯罪分子。例如,在最近的一起案件中,巴西联邦警察逮捕了使用人工智能工具开设银行账户进行洗钱的犯罪分子。他们开设了数千个账户,创建虚假面部,轻松绕过了生物识别检查。
2.针对直接支付系统的欺诈方案✅ 准确
预测认为,网络犯罪分子将利用PIX、FedNow和UPI等直接支付系统,通过剪贴程序和手机银行木马进行攻击,这一预测得到了证实。我们看到了GoPIX的出现,这是一种在巴西针对PIX实时支付系统的银行木马,它实施剪贴板监控,以此改变密钥并窃取支付款项。同样的技术也被用于针对Android设备的木马。其他银行木马家族已经通过直接针对网站或拦截用户剪贴板来实现窃取加密货币的功能。
虽然截至2024年10月,没有公开报道过与FedNow系统直接相关的重大欺诈案件,但对欺诈的担忧仍然很高。FedNow是美联储的实时支付服务,允许即时转账,但其快速性可能被欺诈者利用,尤其是以授权推送支付(APP)欺诈的形式。
关于印度的国家直接支付系统UPI,诈骗者用多个收款请求轰炸UPI ID。UPI ID很容易破解,因为它通常是由用户的手机号码后跟UPI提供商名称组成的。诈骗者可以获得受害者的电话号码,因为这些号码在网购、商场、餐厅等公共场所被广泛使用。用户在UPI账户中收到了许多来自Netflix、Google Pay等的欺诈性收款和自动支付请求。在某些情况下,这些是诈骗者通过其Netflix账户发起的真实UPI自动支付请求,让不知情的用户为诈骗者的订阅付费。
最后,我们注意到拉丁美洲出现了越来越多的假冒即时支付应用程序,用于实施各种诈骗。在这种情况下,网络犯罪团伙开发的应用程序能够逼真地模拟货币交易,显示没有真正连接到交易系统的虚假收据,从而欺骗卖家进行非法或亏损的交易。这些应用程序在暗网论坛上出售给诈骗者,诈骗者利用它们代表小企业进行虚假购买。
3.自动转账系统(ATS)的全球采用☑️ 部分准确
预测认为,使用移动ATS的攻击将在全球范围内被采用。虽然使用ATS的移动银行木马已经成为现实,但其全球采用仍在进行中。在巴西开发特定恶意软件家族并使用这种技术的团伙之一计划将其攻击扩展到欧洲,并推出了该恶意软件的测试版。然而,在他们有机会扩散之前,卡巴斯基通知了巴西警方,该团伙成员随后被捕。
此外,随着谷歌在新版Android中进一步限制“辅助功能”权限,我们认为,由于这需要启用辅助功能设置,未来移动银行木马的开发将更难应用ATS技巧。
4.巴西银行木马的卷土重来✅ 准确
预测认为,巴西银行木马的攻击将变得更加广泛,Grandoreiro将获得发展势头,这一预测得到了证实。2024年,巴西银行木马作为全球威胁重新崛起,针对多个国家,扩大了其影响范围。2024年最流行的家族包括Guildma、Javali、Melcoz、Grandoreiro(Tetrade集团)。其他家族还有Banbra、BestaFera、Bizarro、ChePro、Casbaneiro、Ponteiro和Coyote。Grandoreiro的攻击目标已扩大到45个国家的1700多家银行,遍及各大洲,即使逮捕了几名团伙成员,也没能阻止他们。在我们全球检测到的前30大银行木马家族中,有11个来自巴西,占2024年1月至10月我们用户检测总数的22%(根据卡巴斯基安全网络统计)。
5.勒索软件的攻击目标选择✅ 准确
预测认为,勒索软件团伙将转向更有针对性、高度选择性的攻击。2024年,勒索软件团伙加强了对高价值目标的关注,大型组织,特别是收入超过50亿美元的组织,由于更有可能从这些组织榨取更高的赎金,因此继续成为主要目标。这一趋势与针对金融服务和尤其是银行业机构的攻击增加相一致。仅银行就占了该行业勒索软件事件的20%。平均勒索要求从2023年到2024年增加了40万美元,突显了攻击者追求更高回报的目标。然而,虽然最有技巧的勒索软件运营者瞄准了高知名度行业,但其他团伙仍继续广泛攻击,影响政府、医疗和教育部门。这种双重策略导致2024年第二季度比第一季度勒索软件事件增加了21.5%,上半年同比增加了4.3%,这表明尽管出现了选择性趋势,但勒索软件仍然是各行业的普遍威胁。
6.开源后门程序包增加✅ 准确
预测认为,开源后门程序包将令人担忧地增加,我们观察到这一预测是真实的。XZ后门是一个影响Linux发行版的重大事件,当时后门程序包进入了流行的开源软件(OSS)中。我们在此、此和此处对这一后门进行了广泛分析。不幸的是,它并不是唯一的一个,因为今年我们还看到了许多其他类似的事件。
7.0日漏洞减少,1日漏洞利用增加❌ 错误
预测认为,犯罪软件行为者将从0日漏洞转向1日漏洞利用,但2024年的事实证明这一预测不准确,因为最近的趋势表明,对0日漏洞的依赖持续存在,甚至有所加强。根据CVE.org的数据,2023年其目录中记录了28961个漏洞,而2024年1月至11月,该计划记录了29004个漏洞,创下了历史新高。
根据Rapid7的《2024年攻击情报报告》,0日漏洞利用的使用激增,53%的广泛利用CVE最近都是从0日攻击开始的——这一趋势在过去三年中有两年出现。这种对0日漏洞的关注因最近攻击的精妙和有序性而得到加强,其中23%的广泛威胁CVE归因于高价值的0日漏洞。0日漏洞利用的商业市场也在蓬勃发展,中介为iPhone 0日漏洞提供高达200万美元的巨额奖金。相比之下,没有证据表明犯罪软件行为者使用1日漏洞利用的情况有所增加,这表明0日攻击仍然是网络安全威胁格局中的主要策略。
8.利用配置不当的设备和服务✅ 准确
预测认为,利用配置不当的设备和服务的情况将增加,2024年的情况证明了这一点,如EMERALDWHALE行动所示。这场全球行动特别针对配置不当的Git设置,导致超过15000个云服务凭据被盗,10000多个私有存储库被非法访问。其影响范围广泛,波及包括云提供商和电子邮件平台在内的各种服务,这凸显了与配置错误相关的漏洞的普遍性。攻击者使用私有的自动化工具扫描、提取和验证从配置不当的服务中盗取的令牌,显著扩大了他们的触及范围和效率。这种配置错误趋势还暴露了存储在配置文件中(如Laravel的.env文件)的敏感数据,并揭示了云存储漏洞,例如一个被破解的Amazon S3存储桶,其中包含超过1TB的敏感信息。
9.附属团体构成的流动性✅ 准确
预测认为,网络犯罪团体之间的区别将更加模糊,这一预测得到了证实。2024年,勒索软件生态系统变得越来越动态和适应性强,附属机构采用了一种“多平台”方法。许多威胁行为者现在同时与多个勒索软件家族合作,从而使他们能够优化运营并减轻依赖单一团体带来的风险。例如,网络安全研究人员观察到附属机构积极参与不同勒索软件家族的行动,在黑事务(BlackMatter)和新出现的家族(如RansomHub)之间切换。这种策略使他们能够通过根据目标、潜在收益和每个勒索软件即服务(RaaS)平台的当前运营状态来选择不同的勒索软件株系,从而保持持续不断的攻击。勒索软件格局的碎片化显而易见,列出受害者的团体数量从43个增加到68个,仅在过去一年就出现了31个新团体。这种分散化使执法工作变得复杂,因为这些团体的敏捷结构和国际触角使得追踪和遏制它们变得更加困难。较小的团体,如Medusa和Cloak,正在利用这种流动的环境,通过在暗网资源上提供有吸引力的利润分成来吸引附属机构。例如,Medusa提供高达90%的利润分成来吸引附属机构,而Cloak允许附属机构无需任何初期费用即可加入。同时,已建立的平台继续发展其服务,以留住和吸引熟练的运营者。
10.采用非主流/跨平台语言✅ 准确
预测认为,网络犯罪分子将转向鲜为人知的编程语言以逃避检测。已经出现了采用相当新颖或非标准编程语言开发恶意软件的多个威胁。像KrustyLoader(一种用Rust编写的加载器植入物)、NKAbuse,甚至K4Spreader(8220 Gang使用的、用Golang编写的加载器)这样的工具已在野外被捕获。此外,我们还看到了用Go开发的木马间谍软件、银行木马和其他以财务为目的的恶意软件。这些都是明确的信号,表明恶意软件开发者使用这些语言不仅是因为它们的实用性和易于移植到不同的操作系统,还因为它们使分析工作更加费力。
11.黑客活动主义团体的兴起✅ 准确
关于全球冲突将导致黑客活动主义团体崛起的预测已被证实为真。黑客活动主义界只会变得越来越大、越来越强。世界各地新团体的出现以及周围冲突的增加为黑客活动主义提供了肥沃的土壤。目前,像2024年初成立的萨尔瓦多黑客活动主义团体CiberInteligenciaSV,每天可达两到三次信息泄露。SiegedSec和GhostSec是两个黑客活动主义团体,它们是一个名为“五大家族”的联盟的成员。它们继续攻击关键基础设施,如ICS/SCADA和GNSS卫星接收器,目标主要是与当前地缘政治事件相关的冲突地区的国家。
2025年犯罪软件预测
1.窃密活动激增
通过窃密攻击收集到的受害者信息将导致犯罪增加:无论是网络犯罪还是传统犯罪。Lumma、Vidar、RedLine等将在执法部门的破坏性行动中幸存下来,适应并采用新技术。窃密软件家族中将出现新的参与者。
2.针对中央银行和开放银行倡议的攻击
中央银行负责实施和运行即时支付系统、中央银行数字货币(CBDC)、通过开放银行倡议在金融实体之间传输海量数据等。这将使中央银行成为网络犯罪分子的有趣目标。开放银行系统严重依赖API来实现数据共享。API可能容易受到滥用,攻击者会操纵API端点以获得对敏感数据的未授权访问。我们预计,针对中央银行和开放银行API的攻击数量将在今年显著增加。
3.开源项目供应链攻击增加
在XZ后门事件之后,开源社区开始更彻底地检查OSS项目中的每一次提交。这种增加的警惕性可能会发现新的尝试和之前通过恶意提交成功植入的后门。此外,这一策略的高成功率和相关影响提高了其受欢迎程度。
4.基于区块链的新威胁
区块链在新技术中的使用不断增长,加密货币作为支付手段的采用也在不断增加,这使得与区块链相关的威胁成为一个肥沃的领域。新的协议出现,需要基于区块链和点对点通信的安全私有网络,这简化了基于这些晦涩协议的新恶意软件的分发和多样化使用。这与现代编程语言(如Go和Rust)的日益使用密切相关,这些语言被这些基于区块链的协议选择来开发其SDK,我们预计使用这些语言进行恶意软件开发的趋势将持续下去。
5.中文犯罪软件在全球范围内的扩张
该项目认为其监测到几个源自中国的犯罪软件团体悄然出现,它们的目标用户超出了其常见的攻击范围(亚洲),转向欧洲和拉美地区的用户,主要通过Android银行木马和旨在克隆信用卡的网络钓鱼活动。同时,该项目组声称他们也看到了一些高级攻击,如DinodasRAT。该项目组预计,随着中文犯罪软件探索新的机会并增加攻击频率,其将向其他国家和市场进一步显著扩张。
6.通过勒索软件合成数据污染
勒索软件将转向修改受害者的数据或将无效数据注入目标基础设施,而不仅仅是加密。这种“数据污染”技术将使企业在解密后更难或无法恢复原始数据资产。
7.抗量子勒索软件
随着量子计算的发展,高级勒索软件团伙将开始使用后量子密码学。这种“量子安全”勒索软件所使用的加密技术将旨在抵抗来自经典计算机和量子计算机的解密尝试,使得受害者几乎不可能在不支付赎金的情况下解密其数据。
8.勒索软件攻击者将监管合规作为武器
攻击者将检查目标公司的监管责任,并有目的地以可能导致严重违规的方式加密或篡改数据。攻击者将通过威胁如果不满足其要求就向监管机构举报,从而给勒索计划增加额外的财务和法律压力。
勒索软件即服务(RaaS)模式的扩散RaaS模式将继续使网络犯罪分子更容易设计和执行攻击。经验较少的参与者将能够使用低至40美元的套件发起复杂的攻击,从而增加事件数量。
9.防御方更多采用人工智能和机器学习
如今,众多网络安全解决方案已经利用人工智能来解决常见的漏洞问题,如配置错误、警报处理等。未来,我们将看到人工智能在网络防御中被越来越多地采用,以加速异常检测、通过预测能力缩短分析时间、自动化响应,并加强政策以应对新兴威胁。人工智能将加速威胁检测并加强针对不断演变威胁的防御。这一转变得到了实时机器学习应用显著增加的支撑,这些应用正在通过提高适应性和减轻手动工作量来重塑网络防御。随着威胁行为者也转向人工智能,防御者必须制定出同样先进、具有适应性的策略,才能提高胜算。
10.针对智能手机的金融网络攻击激增
我们看到,虽然使用传统银行或金融恶意软件攻击个人电脑的数量正在减少,但针对智能手机的金融网络威胁却在增加:2024年全球遭遇移动金融威胁的用户数量比2023年增加了一倍(增长了102%)。我们预计这一数字将继续增长,吸引恶意行为者和潜在受害者的关注。
https://securelist.com/ksb-financial-and-crimeware-predictions-2025/114565/
声明:本文来自清华大学智能法治研究院,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
