Crimeware a sektor finansowy

Przeczytaj także: Życzenia świąteczne od cyberprzestępców

Artykuł przedstawia analizę ostatnich ataków przeprowadzonych przez szkodliwe programy na klientów organizacji finansowych. Autor skoncentrował się na rywalizacji o kontrolę pomiędzy "finansowym" szkodliwym oprogramowaniem, zwanym crimeware, a branżą antywirusową. Ponadto, przyjrzał się konfrontacji pomiędzy oprogramowaniem crimeware a sektorem finansowym jako całością.

W artykule nie zostały omówione metody infekowania komputerów użytkowników ani inne taktyki, takie jak phishing czy socjotechnika, stosowane przez cyberprzestępców do atakowania organizacji finansowych.

Celem tego artykułu jest odpowiedź na pytanie - czy w obecnych warunkach można skutecznie zatrzymać falę szkodliwego oprogramowania atakującego branżę finansową?

Zanim przejdę dalej, chciałbym podkreślić, że rankingi organizacji finansowych zawarte w tym artykule nie odzwierciedlają ich wiarygodności (lub jej braku). Rankingi te często opierają się na popularności systemu, na którym pracuje użytkownik. Wnioskowanie o wiarygodności systemu bezpieczeństwa banku na podstawie materiałów przedstawionych w tym artykule byłoby niewłaściwe.

Cyberprzestępcy w natarciu

Coraz częściej słyszymy o udanych atakach cyberprzestępców na klientów organizacji finansowych. Ataki wykorzystujące szkodliwe oprogramowanie zwykle przeprowadzane są według utartego schematu: poszukiwanie odpowiedniej ofiary i infekcja komputera, kradzież danych umożliwiających logowanie do systemów bankowości online, a następnie pobranie środków z konta ofiary.

Doskonałym przykładem takiego szkodliwego oprogramowania jest szkodnik (zestaw narzędzi) należący do rodziny Zbot, znany również jako ZeuS.

Jest to szkodliwe narzędzie do kradzieży danych uwierzytelniających podczas logowania się użytkownika do kont bankowych online. ZeuS był bardzo aktywny przez cały 2009 rok i nadal stanowi poważne zagrożenie, najwyraźniej śmiejąc się w twarz specjalistom bezpieczeństwa IT, którzy wiele razy próbowali zdjąć botnety ZeuSa. Nadal działa ponad 700 centrów kontroli tego botnetu, z których każde kontroluje średnio dwadzieścia do pięćdziesięciu tysięcy zainfekowanych komputerów. Na podstawie tych danych możemy się jedynie domyślać, jaka jest liczba potencjalnych ofiar. Dodajmy, że te centra kontroli są rozsiane po całym świecie.
Tak duży zasięg geograficzny centrów kontroli zapewnia botnetowi długowieczność. Jak pokazuje doświadczenie, nie wystarczy zamknąć kilka stron hostingowych, aby niszczyć botnet. 9 marca Roman Husse, który monitorował botnet przy użyciu narzędzia ZeuS Tracker, zauważył gwałtowny spadek liczby centrów kontroli i stwierdził, że ma to związek z "odłączeniem" dostawcy usług internetowych o nazwie Troyak. Do 11 marca liczba centrów kontroli zmniejszyła się do 104. Jednak dwa dni później Troyak znalazł nowego dostawcę i do 13 marca liczba centrów kontroli ponownie wzrosła do 700, zatem niedługo mogliśmy cieszyć się dobrymi wiadomościami.

Rodzina szkodliwego oprogramowania ZeuS nie jest jedynym zestawem narzędzi, który został stworzony, aby umożliwić kradzież danych logowania użytkownika w celu uzyskania dostępu do jego finansów online. Na przykład zestaw narzędzi Spy Eye potrafi nie tylko kraść wymagane dane, ale również niszczyć swojego konkurenta ZBot/Zeus, co oznacza, że tuż obok nas toczy się wirtualna wojna. Podobną sławą cieszył się botnet Mariposa, który składał się z 13 milionów komputerów na całym świecie i został zdjęty przez policję hiszpańską w grudniu 2009.

W panelu kontrolnym botnetu Spy Eye cyberprzestępcy stosowali ikonki w stylu małych sakiewek pieniędzy do przedstawienia każdego użytkownika zainfekowanego komputera wchodzącego w skład botnetu.