מה היו 3 הסוסים הטרויאנים הבולטים ביותר בתקיפת מוסדות פיננסיים ב-2016?
מאת: מערכת Telecom News, 3.4.17, 18:16

דו"ח מדד איומי אבטחת הסייבר ל-2017 ממנף נתונים המתקבלים מכ-300 מיליון נקודות קצה בכל העולם.

במהלך 2016 הרחיבו פושעי סייבר את השימוש בכלי תוכנה זדונית מתקדמים כדי לתקוף מוסדות פיננסיים. דו"ח של IBM מגלה, שגרסאות חדשות של הסוס הטרויאני Zeus, וגרסאות של Neverquest ו-Gozi, שמרו על מקומן, שהתקבע כבר ב-2015 כ-3 האיומים הבולטים ביותר, בעוד פושעי סייבר מעדכנים את הקודים הזדוניים שלהם תכופות ופונים לתקיפת מדינות ואזורים חדשים.

דו"ח מדד איומי אבטחת הסייבר ל-2017 של קבוצת מודיעין הסייבר IBM X-Force ממנף נתונים המתקבלים מכ-300 מיליון נקודות קצה בכל העולם, שמנוטרות ע"י מערכות IBM Trusteer ואנשי X-Force של IBM. הדו"ח חושף את רשימת התוכנות הזדוניות הנפוצות יותר בעולם הפיננסים במדינות דוגמת ארה"ב, בריטניה, קנדה, יפן, ניו-זילנד, אוסטרליה, ברזיל, גרמניה, מדינות באסיה ובמפרץ הפרסי.

צוות X-Force גילה, שפושעי סייבר הרחיבו את פעילותם לאזורים חדשים באמצעות הקמת רשתות ושיתופי פעולה עם גופי פשיעה מאורגנת מקומיים. קשרים מסוג זה מאפשרים לפושעים לתקוף מטרות חדשות באמצעות רשימות דוא"ל מקומיות המועמדות לשירותם, להבין את דרישות ההזדהות והאבטחה המיוחדות לבנקים בכל מדינה, ולהיכנס במהירות לפעילות הלבנת הכספים האזורית.

כך, למשל, הפעילו פושעי סייבר את התוכנה הזדונית TrickBot, שהתגלתה לראשונה באוגוסט 2016, והתאימו אותה לתקיפת לקוחותיהם של בנקים באנגליה. ניסיון הפריצה לחשבונות מקוונים בוצע כבר בשלב הפיתוח והבדיקות של סוס טרויאני זה במגמה לשלבו בתקיפות על משתמשים בעוד מדינות דוברות אנגלית. בהמשך, תוך חודש אחד בלבד מאז הושק בפועל, הורחבה פעילותו של TrickBot אל מערכת הבנקאות הגרמנית.

התמקדות במוסדות פיננסיים הייתה עניין משתלם מבחינתם של פושעי סייבר ב- 2016. הדו"ח קובע, שארגונים כאלה היו המגזר החשוף ביותר למתקפות סייבר ב-2016, לאחר שצנחו למקום השלישי ב-2015. למרות שהמגזר הפיננסי חווה את מספר המתקפות הגבוה ביותר אשתקד, הובילה רמת האבטחה הגבוהה המאפיינת אותו בדרך כלל לדירוגו במקום השלישי בלבד בכל הנוגע למספר הרשומות, שדלפו בפועל כתוצאה מהמתקפות האלה.

ארה"ב ובריטניה היו היעדים הפופולריים ביותר למתקפות קוד זדוני בעולם ההונאות הפיננסיות המקוונות. במקביל, נרשם גידול בהיקף המתקפות גם בשווקים נוספים. כך, למשל, יפן, שהייתה מבודדת היסטורית מפשיעת סייבר בשל היעדר כלי פריצה מקומיים והסיבוך שבעיסוק בשפה היפנית, פגשה במשפחות חדשות של סוסים טרויאנים המתמקדים בפריצה לחשבונות של לקוחות במדינה.

בין השאר, סבלה יפן מהגירה בלתי רצויה של סוסים טרויאנים דוגמתGozi, URLZone,   ו-Shifu, שמופעלים ע"י כנופיות מוכרות של פושעי סייבר מזרח-אירופיים. נוכחותה של פשיעה קיברנטית מתוחכמת באזור מהווה סימן ברור להתפתחות תשתיות ההונאה המקוונת בשוק היפני ושיתוף פעולה עם הפשע המאורגן המקומי.

גם ברזיל חוותה סימנים להתפתחות פשיעת הסייבר הגלובלית במהלך 2016, ובמיוחד סביב אירועי האולימפיאדה. אחד הסממנים בברזיל היה פעילותן של גרסאות חדשות של הסוס הטרויאני Zeus, שנדיר היה לגלותו במדינה הזאת בעבר בעיקר בשל היעדר פורצים מקומיים בעלי כישורים בהפעלת בוטנטים. ב-2016 נצפה Zeus בברזיל בגרסאות חדשות, שהותאמו לגניבת כספים בשוק המקומי.

לימור קסם, (בתמונה), יועצת אבטחה בכירה בחטיבת האבטחה של יבמ: "הרמה הגבוהה של שיתוף הפעולה בין גופי פשע מאורגן ובין פושעי סייבר מהווה שינוי באסטרטגיה של הפושעים האלה. בעוד שבעבר היה מקובל לשתף כלים ושירותים במסגרת פורומים המנוהלים ברשת האפלה, הרי שיתוף הפעולה העמוק יותר המתנהל עתה מחוץ לסביבה הזאת מעיד, שכדי להרחיב את פריסת האיומים וחדירתם הגלובלית נדרשת רמה גבוהה ועמוקה יותר של שיתוף פעולה בין פושעים".

הדו"ח המלא של יבמ בנושא אבטחת סייבר במערכת הפיננסית, "The Shifting Panorama of Global Financial Cybercrime"
זמין - כאן.