پیش بینی جرم افزارها و تهدیدات سایبری مالی در سال 2025
کسپرسکی، دائماً چشمانداز تهدیدات سایبری مالی را رصد میکند که شامل تهدیداتی علیه مؤسسات مالی مانند بانکها و شرکتهای فین تک و تهدیداتی با انگیزه مالی مانند باجافزارها میباشند. این تهدیدات، طیف وسیعتری از صنایع را مورد هدف قرار میدهند. به عنوان بخشی از بولتن امنیتی کسپرسکی، این شرکت سعی کرده است پیشبینی کند که این تهدیدات سایبری در سال آینده چگونه تکامل خواهند یافت تا افراد و مشاغل را برای رویارویی با آنها آماده سازد. ما در این مقاله، ابتدا پیشبینیهای کسپرسکی را برای سال ۲۰۲۴ ارزیابی کرده و سپس روند تهدیدات سایبری برای سال ۲۰۲۵ را مورد بررسی قرار خواهیم داد.
مروری بر پیش بینیهای سال گذشته… پیش بینیهای سال 2024 چقدر دقیق بوده است؟
۱. افزایش حملات سایبری مبتنی بر هوش مصنوعی… (پیش بینی صحیح بود)
پیش بینی افزایش حملات سایبری با استفاده از ابزارهای یادگیری ماشین و هوش مصنوعی صحیح بود. حملات سایبری انجام شده توسط هوش مصنوعی در سال 2024 نه تنها از طریق ایمیلهای فیشینگ (تقریبا 21 درصد ایمیلهای فیشینگ توسط هوش مصنوعی ارسال شدند) و تبلیغات مخرب دستکاری شده صورت گرفتهاند بلکه به عنوان روشی موثر برای دورزدن احراز هویت بیومتریک نیز مورد استفاده قرار گرفتهاند.
ابزارهای یادگیری ماشینی به هکرها اجازه میدهند تا با استفاده از دادههای فاش شده، هویت قربانیان را جعل و مکانیزمهای امنیتی مورد استفاده در فرآیند KYC را دور بزنند و با استفاده از فناوری دیپ فیک چهرهها، ویدیوها، تصاویر و صوتهای جعلی تولید کرده و اکانتهای جدید ایجاد کنند.
برخی گروههای سایبری مانند Gringo 171، در توسعه این ابزارها تخصص دارند و آنها را به هر هکری که علاقهمند به دور زدن احراز هویت بیومتریک باشد، میفروشند. به عنوان مثال، پلیس فدرال برزیل اخیراً مجرمانی را دستگیر کرده است که از ابزارهای مبتنی بر هوش مصنوعی برای ایجاد اکانتهای بانکی به منظور پولشویی استفاده میکردند. این هکرها هزاران اکانت و چهرههای جعلی ایجاد کردند و به راحتی توانستند بررسیهای بیومتریک را دور بزنند.
۲. طرحهای فریبنده و جعلی که سیستمهای پرداخت مستقیم را مورد نفوذ قرار میدهند… (پیش بینی صحیح بود)
با افزایش محبوبیت سیستمهای پرداخت مستقیم مانند PIX در برزیل، FedNow در ایالات متحده و UPI در هند، مجرمان سایبری از این پلتفرمها برای طرحهای جعلی و کلاهبرداری سوء استفاده کردند. سال گذشته پیش بینی شده بود که بدافزارهای کلیپ بوردب به روی کار خواهندد آمد که برای پشتیبانی از سیستمهای پرداخت مستقیم جدید طراحی شدهاند.
پیش بینی سوءاستفاده مجرمان سایبری از سیستمهای پرداخت مستقیم مانند PIX، FedNow و UPIاز طریق کلیپرها و تروجان های بانکی موبایل صحیح بود.
نمونه آن، تروجان بانکی در برزیل میباشد که سیستم پرداخت بلادرنگ PIX را مورد نفوذ قرار داد و نظارت بر کلیپ بورد را به عنوان راهی برای تغییر کلیدها و ربودن پرداختها به کار گرفت.
۳. پذیرش جهانی سیستمهای انتقال خودکار (ATS)… (پیش بینی تا حدی صحیح بود)
حملات سیستم انتقال خودکار موبایل (ATS[1]) یک تکنیک نسبتاً جدید است که شامل بدافزارهای بانکی است که هنگام ورود کاربر به برنامه بانکی، تراکنشهای جعلی انجام میدهند. تروجانهای بانکداری موبایل از تکنیکهای ATS برای پرداخت سریع استفاده میکنند.
این پیش بینی تا حدودی محقق شد، چرا که یک گروه هکری قصد داشت تا با کمک این تکنیک حملاتی را در اروپا به انجام رساند. با این حال، پیش از آنکه فرصتی برای گسترش بدافزار به منظور انجام حمله پیدا کند با اخطار کسپرسکی به پلیس برزیل، دستگیر شد.
افزون براین، ازآنجایی که گوگل به ایجاد محدودیت بیشتر مجوزهای دسترسی درنسخههای جدید اندروید ادامه میدهد، محققان کسپرسکی معتقد بر سختتر بودن استفاده از ترفند ATS برای بدافزار، در توسعه تروجان بانکی تلفن همراه هستند، زیرا برای این موضوع باید تنظیمات دسترسی فعال باشد.
۴. تجدید حیات تروجان های بانکی برزیلی… (پیش بینی صحیح بود)
از آنجایی که بسیاری از مجرمان سایبری اروپای شرقی تمرکز خود را به باجافزار معطوف کردهاند، تروجانهای بانکی برزیلی گسترش یافتهاند. خانوادههایی مانند Grandoreiro بیش از ۹۰۰ بانک در ۴۰ کشور را در سال ۲۰۲۳ مورد هدف قرار دادند.
شایع ترین خانوادههای تروجان بانکی در سال 2024 Guildma, Javali, Melcoz, Grandoreiro (گروه Tetrade) میباشند. خانوادههای دیگری همچون Banbra, BestaFera, Bizarro, ChePro, Casbaneiro, Ponteiro و Coyote نیز وجود دارند. گسترش Grandoreiro موجب نفوذ این بدافزار به بیش از 1700 بانک در 45 کشور از هر قاره گردید و حتی دستگیری چندین عضو این گروه مانع ادامه فعالیت آنها نشد.
در میان 30 خانواده پیشرو تروجان بانکی که در سراسر جهان شناسایی شدهاند، منشا 11 خانواده، برزیل بوده و طبق بررسی محققان 22 درصد از کل شناساییهای کاربران در سال 2024 را تشکیل میدهند ( طبق آمار جمع آوری شده KSN از ژانویه تا اکتبر 2024).
۵. انتخاب هدف باج افزار… (پیش بینی صحیح بود)
پیش بینی شده بود که در سال ۲۰۲۴، گروههای باجافزار در انتخابهای اهداف خود گزینشیتر عمل خواهند کرد تا شانس خود را برای دریافت باج به حداکثر برسانند. این پیش بینی صحیح بود. این رویکرد استراتژیک منجر به حملات هدفمندتر و مخرب علیه موسسات و سازمانهای مالی گردید.
تمرکز اصلی گروههای باج افزاری در سال 2024 بر روی اهداف با ارزش به ویژه سازمانهای بزرگ که درآمد آنها بیش از 5 میلیارد دلار است، بیشتر شد.
این گرایش همسو با تغییر به سمت هدف قرار دادن خدمات مالی به ویژه موسسات بانکی مشاهده شده است. بانکها به تنهایی 20 درصد از حملات باج افزاری را تجربه کردهاند. میانگین تقاضای باج از سال 2023 تا 2024 به میزان 400هزار دلار افزایش یافته است و این امر بر پیگیری مهاجمان برای پرداخت بیشتر تاکید میکند.
۶. پکیج های بکدور منبع باز… (پیش بینی صحیح بود)
پیش بینی شده بود که پکیجهای بکدور منبع باز در سال ۲۰۲۴ افزایش خواهند یافت. مجرمان سایبری از آسیبپذیریها در نرمافزارهای متنباز پرکاربرد سوء استفاده میکنند، امنیت را به خطر میاندازند و به طور بالقوه منجر به نقض دادهها و خسارت های مالی میشوند. این پیش بینی محقق گردید.
بکدور XZ یک حمله بزرگ بود که بر توزیع لینوکس تاثیر میگذاشت. XZ Utils مجموعهای است که به طور گسترده در سیستمهای سازگار با POSIX مانند لینوکس و یونیکس برای پردازش فایلهای xz. از جمله کامپوننتهایی مانند liblzma و xz استفاده میشود که در مخازن توزیع مانند Debian،Ubuntu و Centos ادغام شدهاند. تحلیل جامع این بکدور را میتوانید از اینجا و اینجا بخوانید.
۷. کاهش آسیب پذیریهای روز صفر و افزایش اکسپلویتهای روز یک (پیش بینی نادرست بود)
پیش بینی شده بود که هکرها اتکای جُرم افزارهای خود را به آسیب پذیریهای روز صفر کاهش خواهد داد و در مقابل به اکسپلویت های روز یک یا یک روزه[2] روی خواهند آورد. این پیش بینی نادرست بود چرا که ترندهای اخیر نشان دهنده اتکای پایدار و حتی افزایش یافته به آسیب پذیریهای روز صفر میباشد.
CVE.org در سال 2023، تعداد ۲۸,۹۶۱ آسیب پذیری را در کاتالوگ خود ثبت کرد در حالی که از ژانویه تا نوامبر 2024 این سامانه، ۲۹,۰۰۴ آسیب پذیری را به ثبت رسانده است که بالاترین تعداد ثبت شده تاکنون میباشد.
طبق گزارش Rapid7 2024 Attack Intelligence Report، استفاده از اکسپلویتهای روز صفر افزایش یافته است به طوری که 53 درصد از CVEهای مورد سوءاستفاده اخیر به عنوان حملات روز صفر به کار گرفته شدهاند، ترندی که در دو الی سه سال گذشته مشاهده شده است.
بازار خرید و فروش اکسپلویتهای روز صفر درحال رونق است و پرداختهای قابل توجهای مانند 2 میلیون دلار برای اکسپلویتهای روز صفر آیفون انجام میشود! در مقابل هیچ مدرکی دال بر افزاش اکسپلویتهای روز یک در میان گروههای تهدید سایبری وجود ندارد و تاکید میشود که حملات روز صفر همچنان تاکتیک اصلی در چشم انداز تهدید امنیت سایبری میباشند.
۸. بهره برداری از دستگاهها و سرویسهای دارای پیکربندی نادرست… (پیش بینی صحیح بود)
پیش بینی شده بود که سوءاستفاده از دستگاهها و سرویسهای دارای پیکربندی نادرست در سال ۲۰۲۴ افزایش خواهند یافت و مجرمان سایبری از این نقاط ضعف برای ایجاد دسترسی غیرمجاز و انجام حملات استفاده خواهند کرد. این پیش بینی صحیح بود.
عملیات EMERALDWHALEنشان دهنده این موضوع میباشد. این کمپین جهانی به صورت ویژهای پیکربندی نادرست تنظیمات Git را مورد هدف قرار داد که منجر به ربودن 15 هزار داده لاگین و دسترسی غیرمجاز به 10 هزار مخزن خصوصی شد.
این هک گسترده خدمات مختلفی از جمله ارائه دهندگان سرویسهای ابری و پلتفرمهای ایمیل را در معرض نفوذ قرار داد که بر ماهیت عظیم آسیب پذیریهای مرتبط با پیکربندی نادرست تاکید میکند. مهاجمان از ابزارهای خصوصی و خودکار برای اسکن، استخراج و تایید توکنهای ربوده شده از سرویسهای دارای پیکربندی نادرست استفاده میکنند.
۹. ترکیب و همکاری گروه های وابسته… (پیش بینی صحیح بود)
پیش بینی شده بود که گروههای وابسته در اکوسیستم جرایم سایبری ساختار منعطفتری از خود نشان خواهند داد، به طوری که اعضا اغلب به طور همزمان بین چندین گروه جابجا میشوند یا برای آنها کار میکنند. این سازگاری ردیابی و مبارزه موثر با جرایم سایبری را برای مجریان قانون دشوار خواهد کرد. این پیش بینی صحیح بود.
اکوسیستم باج افزار درسال2024 به طور فزایندهای پویا و سازگارتر شده است و شرکتهای وابسته رویکرد چند پلتفرمی را اتخاذ کردهاند. بسیاری از عوامل تهدید اکنون با چندین خانواده باج افزار به طور همزمان کار میکنند تا عملیات خود را بهینه کرده و خطرات مرتبط با تکیه بر یک گروه را کاهش دهند.
به عنوان مثال، محققان امنیت سایبری دریافتند که شرکتهای وابسته به طور فعال در حملات خانوادههای باج افزاری مختلف شرکت میکنند و بین گروههایی مانند BlackMatter و گروه های نوظهور RansomHub جابه جا میشوند.
۱۰. پذیرش زبانهای کمتر محبوب/ کراس پلتفرم (چند پلتفرمی)… (پیش بینی صحیح بود)
پیش بینی شده بود هکرها در سال ۲۰۲۴ برای فرار از شناسایی به زبانهای برنامه نویسی که کمتر شناخته شده یا چند پلتفرمی[3] مانند Golang و Rust به منظور ایجاد بدافزار و اکسپلویت آسیب پذیریها روی خواهند آورد. این پیش بینی صحیح بود.
تهدیدات متعدد از پذیرش زبانهای برنامه نویسی نسبتا جدید یا غیراستانداردی که برای توسعه بدافزار استفاده میشوند، به وجود آمدند. ابزارهایی مانند KrustyLoader (لودر ایمپلنتی که به زبان Rust نوشته شده است)، NKAbuseیا حتی K4Spreader (لودری که توسط گروه 8220 استفاده میشود و به زبان Golang نوشته شده است) شناسایی شدند.
علاوه براین تروجانهای جاسوسافزار، تروجانهای بانکی و سایر بدافزارها با انگیزه مالی مشاهده شدند که در Go توسعه یافتهاند. این یک سیگنال واضح از استفاده توسعه دهندگان بدافزار از این زبانها میباشد. این زبانها نه تنها به دلیل کاربردی بودن و قابلیت استفاده راحت برای سیستم عاملهای مختلف بلکه به این دلیل که آنها تجزیه و تحلیل را به یک کار سخت تبدیل میکنند، مورد استقبال قرار خواهند گرفت.
۱۱. ظهور گروههای هکتیویست… (پیش بینی صحیح بود)
درگیریهای سیاسی-اجتماعی منجر به افزایش گروههای هکتیویست میشود که بر اختلال در زیرساختها و سرویس های حیاتی تمرکز میکنند. این گروه ها، تهدید قابل توجهی برای موسسات مالی و سایر سازمان هایی که برای عملکرد جامعه حیاتی هستند، به شمار میآیند. این پیش بینی به دلیل درگیریها و جنگهای جهانی محقق گردید.
حضور گروه های جدید در نقاط مختلف جهان و افزایش درگیریها، زمینه مناسبی را برای فعالیت هکتیویستها فراهم کرد.گروههایی مانند CiberInteligenciaSV که یک گروه هکتیویست سالوادری است و سال 2024 فعالیت خود را آغاز کرده است، روزانه توانایی چندین نفوذ موفق را دارد.
SiegedSec و GhostSecنیز دو گروه هکتیویسم هستند که به زیرساختهای بحرانی مانند گیرندههای ماهوارهای CS / SCADA و GNSS در کشورهای مختلف، عمدتا مناطق درگیر با رخدادهای ژئوپلیتیک حمله میکنند.
پیش بینی جرم افزارها برای سال 2025
1. افزایش فعالیت ربایندهها (Stealer)
پیش بینی میشود که فعالیت بدافزارهای رباینده که اطلاعات قربانیان را جمع آوری میکنند در سال آینده، افزایش خواهد یافت که در نهایت منجر به افزایش جرایم سایبری خواهد شد. Lumma، Vidar، RedLineو دیگر بدافزارهای رباینده از تکنیکهای جدید به منظور دور زدن سیستمهای امنیتی و جلوگیری از شناسایی استفاده میکنند.
2. حملات علیه بانکهای مرکزی و طرحهای بانکداری باز
بانکهای مرکزی مسئول پیاده سازی و اجرای سیستمهای پرداخت آنی، CBDCها (ارزهای دیجیتال بانک مرکزی)، انتقال داده در حد گیگابایت بین نهادهای مالی از طریق طرحهای بانکداری باز هستند. این امر بانکهای مرکزی را به یک هدف جالب برای مجرمان سایبری تبدیل میکند. سیستمهای بانکداری باز به شدت به APIها برای اشتراک گذاری داده متکی هستند. APها میتوانند در برابر سوءاستفاده آسیب پذیر باشند. جایی که مهاجمان، endpointهای API را دستکاری میکنند تا دسترسی غیرمجاز به دادههای حساس را به دست آورند. محققان کسپرسکی انتظار دارند تعداد حملاتی که بانکهای مرکزی و APIهای بانکداری باز را هدف قرار میدهد در سال ۲۰۲۵ به میزان قابل توجهی افزایش یابند.
3. افزایش حملات زنجیره تامین به پروژههای منبع باز
جامعه منبع باز در پی حملات بکدور XZ، شروع به بررسی دقیقتر هر کامیت در پروژههای OSS کرد. این بررسی ممکن است منجر به شناسایی بکدورهای قدیمی از پیش ایجاد شده و بکدورهای جدید شود.
4. تهدیدات جدید مبتنی بر بلاکچین
استفاده روزافزون استفاده از بلاکچین در فناوریهای جدید و پذیرش فزاینده ارز دیجیتال به عنوان وسیله پرداخت، تهدیدات مرتبط با بلاکچین را افزایش خواهد داد. پروتکلهای جدید با نیاز به یک شبکه امن و خصوصی مبتنی بر بلاکچین و شبکه همتا به همتا P2P ظاهر میشوند که توزیع و استفاده متنوع بدافزار جدید را براساس این پروتکلهای مبهم تسهیل میسازند. این موضوع به افزایش استفاده از زبانهای برنامه نویسی جدید مانند Go و Rustمربوط میشود.
5.گسترش جرم افزارها چینی زبان در سراسر جهان
پیش بینی میشود در سال ۲۰۲۵ چندین خانواده جُرم افزار با منشا چینی ظهور خواهند کرد که اهداف خود را فراتر از آسیا گسترش خواهند داد و بر روی کاربران اروپا و آمریکای لاتین از طریق تروجانهای بانکی اندرویدی و فیشینگ (که هدفشان شبیه سازی کارتهای اعتباری است) تمرکز خواهند کرد. محققان انتظار دارند، جُرم افزارها چینی با کشف فرصتهای جدید و افزایش تعداد حملات، بطور قابل توجه به سایر کشورها و بازارهای جهان گسترش پیدا کنند.
6. data poisoning یا مسمومیت دادههای تغییر یافته از طریق باج افزار
باج افزار، دادههای قربانیان را تغییر میدهد و یا بجای رمزگذاری دادهها، دادههای نامعتبر را به زیرساختهای هدف تزریق میکند. این تکنیک که data poisoning یا مسمومیت داده نام دارد، بازیابی دادههای اصلی سازمان را حتی پس از رمزگشایی، دشوار یا غیر ممکن خواهد کرد.
7. باج افزار مقاوم در برابر کوانتوم
پیش بینی میشود که گروههای باج افزار پیشرفته با توسعه محاسبات کوانتومی، شروع به استفاده از رمزگذاری پس از کوانتومی خواهند کرد. تکنیکهای رمزگذاری مورد استفاده توسط این قبیل باج افزارها برای مقاومت در برابر تلاشهای رمزگشایی از سوی رایانههای کلاسیک و کوانتومی طراحی میشوند و تقریبا رمزگشایی دادههای قربانیان را بدون پرداخت باج غیرممکن میسازند.
8. انطباق با مقررات توسط مهاجمان باج افزاری
مهاجمان با نظارت بر عملکرد یک شرکت، عمداً دادههای آن را تغییر میدهند و یا رمزگذاری میکنند که این خود باعث ایجاد مشکلات مربوط به انطباق میشود. مهاجمان سپس فشار مالی و حقوقی بیشتری را به طرح اخاذی اضافه کرده و تهدید میکنند که در صورت برآورده نشدن خواستههایشان به تنظیم کنندههای مقررات و قوانین هشدار خواهند داد.
9. گسترش باج افزار به عنوان یک سرویس
مدل RaaS، طراحی و اجرای حملات باج افزاری را برای مجرمان سایبری آسانتر میکند. هکرهای کم تجربه میتوانند حملات پیچیدهای را توسط کیتهایی به قیمت 40 دلار انجام و تعداد حملات باج افزاری را افزایش دهند.
10. استفاده بیشتر از هوش مصنوعی و یادگیری ماشین در بخش دفاعی
امروزه مکانیزمهای متعدد امنیت سایبری از هوش مصنوعی برای رفع آسیب پذیریهای رایج مانند خطاهای پیکربندی، مدیریت هشدار و موارد دیگر بهره میجویند. ما در آینده شاهد استفاده فزاینده از هوش مصنوعی در دفاع سایبری به منظور تسریع شناسایی ناهنجاریها، کاهش مدت زمان تجزیه و تحلیل از طریق پیش بینیها، پاسخگویی خودکار و تقویت سیاستها برای مقابله با تهدیدات نوظهور خواهیم بود. هوش مصنوعی شناسایی را تسریع کرده و دفاع در برابر تهدیدات در حال تکامل را تقویت میکند.
11.افزایش حملات سایبری مالی که گوشیهای هوشمند را مورد هدف قرار میدهند
محققان کسپرسکی دریافتهاند درحالی که تعداد حملات به رایانههای شخصی با استفاده از بدافزارهای بانکی یا مالی سنتی کاهش یافته است، اما تهدیدات سایبری مالی علیه تلفنهای هوشمند در حال رشد و افزایش میباشد. تعداد کاربرانی که در سال 2024 با تهدیدات مالی تلفن همراه مواجه شدهاند دو برابر (102درصد) نسبت به سال 2023 افزایش یافته است. محققان انتظار دارند که این رقم در سال آینده باز هم افزایش یابد.
[1] Automated Transfer Systems
[2] 1-day exploit
[3] cross-platform