پیش بینی جرم افزارها و تهدیدات سایبری مالی برای سال ۲۰۲۵

کسپرسکی، دائماً چشم‌انداز تهدیدات سایبری مالی را رصد می‌کند که شامل تهدیداتی علیه مؤسسات مالی مانند بانک‌ها و شرکت‌های فین تک و تهدیداتی با انگیزه مالی مانند باج‌افزارها می‌باشند. این تهدیدات، طیف وسیع‌تری از صنایع را مورد هدف قرار می‌دهند. به عنوان بخشی از بولتن امنیتی کسپرسکی، این شرکت سعی کرده‌ است پیش‌بینی کند که این تهدیدات سایبری در سال آینده چگونه تکامل خواهند یافت تا افراد و مشاغل را برای رویارویی با آنها آماده سازد. ما در این مقاله، ابتدا پیش‌بینی‌های کسپرسکی را برای سال ۲۰۲۴ ارزیابی کرده و سپس روند تهدیدات سایبری برای سال ۲۰۲۵ را مورد بررسی قرار خواهیم داد.

مروری بر پیش بینی‌های سال گذشته… پیش بینی‌های سال 2024 چقدر دقیق بوده است؟

۱. افزایش حملات سایبری مبتنی بر هوش مصنوعی… (پیش بینی صحیح بود)

پیش بینی افزایش حملات سایبری با استفاده از ابزارهای یادگیری ماشین و هوش مصنوعی صحیح بود. حملات سایبری انجام شده توسط هوش مصنوعی در سال 2024 نه تنها از طریق ایمیل‌های فیشینگ (تقریبا 21 درصد ایمیل‌های فیشینگ توسط هوش مصنوعی ارسال شدند) و تبلیغات مخرب دستکاری شده صورت گرفته‌اند بلکه به عنوان روشی موثر برای دورزدن احراز هویت بیومتریک نیز مورد استفاده قرار گرفته‌اند.

ابزارهای یادگیری ماشینی به هکرها اجازه میدهند تا با استفاده از داده‌های فاش شده، هویت قربانیان را جعل و مکانیزم‌های امنیتی مورد استفاده در فرآیند KYC را دور بزنند و با استفاده از فناوری دیپ فیک چهره‌ها، ویدیوها، تصاویر و صوت‌های جعلی تولید کرده و اکانت‌های جدید ایجاد کنند.

برخی گروه‌های سایبری مانند Gringo 171، در توسعه این ابزارها تخصص دارند و آنها  را به هر هکری که علاقه‌مند به دور زدن احراز هویت بیومتریک باشد، می‌فروشند. به عنوان مثال، پلیس فدرال برزیل اخیراً مجرمانی را دستگیر کرده است که از ابزارهای مبتنی بر هوش مصنوعی برای ایجاد اکانت‌های بانکی به منظور پولشویی استفاده می‌کردند. این هکرها هزاران اکانت و چهره‌های جعلی ایجاد کردند و به راحتی توانستند بررسی‌های بیومتریک را دور بزنند.

۲. طرح‌های فریبنده و جعلی که سیستم‌های پرداخت مستقیم را مورد نفوذ قرار می‌دهند… (پیش بینی صحیح بود)

با افزایش محبوبیت سیستم‌های پرداخت مستقیم مانند PIX در برزیل، FedNow در ایالات متحده و UPI در هند، مجرمان سایبری از این پلتفرم‌ها برای طرح‌های جعلی و کلاهبرداری سوء استفاده کردند. سال گذشته پیش بینی شده بود که بدافزارهای کلیپ بوردب به روی کار خواهندد آمد که برای پشتیبانی از سیستم‌های پرداخت مستقیم جدید طراحی شده‌اند.

پیش بینی سوءاستفاده مجرمان سایبری از سیستم‌های پرداخت مستقیم مانند  PIX، FedNow و  UPIاز طریق کلیپرها و تروجان های بانکی موبایل صحیح بود.

نمونه آن، تروجان بانکی  در برزیل می‌باشد که سیستم پرداخت بلادرنگ PIX را مورد نفوذ قرار داد و نظارت بر کلیپ بورد را به عنوان راهی برای تغییر کلیدها و ربودن پرداخت‌ها به کار گرفت.

۳. پذیرش جهانی سیستم‌های انتقال خودکار (ATS)… (پیش بینی تا حدی صحیح بود)

حملات سیستم انتقال خودکار موبایل (ATS[1]) یک تکنیک نسبتاً جدید است که شامل بدافزارهای بانکی است که هنگام ورود کاربر به برنامه بانکی، تراکنش‌های جعلی انجام می‌دهند. تروجان‌های بانکداری موبایل از تکنیک‌های ATS برای پرداخت سریع استفاده می‌کنند.

این پیش بینی تا حدودی محقق شد، چرا که یک گروه هکری قصد داشت تا با کمک این تکنیک حملاتی را در اروپا به انجام رساند. با این حال، پیش از آنکه فرصتی برای گسترش بدافزار به منظور انجام حمله پیدا کند با اخطار کسپرسکی به پلیس برزیل، دستگیر شد.

افزون براین،  ازآنجایی که گوگل به ایجاد محدودیت بیشتر مجوزهای دسترسی درنسخه‌های جدید اندروید ادامه می‌دهد‌، محققان کسپرسکی معتقد بر سخت‌تر بودن استفاده از ترفند  ATS  برای بدافزار، در توسعه تروجان بانکی تلفن همراه هستند، زیرا برای این موضوع باید تنظیمات دسترسی فعال باشد.

۴. تجدید حیات تروجان های بانکی برزیلی… (پیش بینی صحیح بود)

از آنجایی که بسیاری از مجرمان سایبری اروپای شرقی تمرکز خود را به باج‌افزار معطوف کرده‌اند، تروجان‌های بانکی برزیلی گسترش یافته‌اند. خانواده‌هایی مانند Grandoreiro بیش از ۹۰۰ بانک در ۴۰ کشور را در سال ۲۰۲۳ مورد هدف قرار دادند.

شایع ترین خانواده‌های تروجان بانکی در سال 2024 Guildma, Javali, Melcoz, Grandoreiro (گروه Tetrade) می‌باشند. خانواده‌های دیگری همچون Banbra, BestaFera, Bizarro, ChePro, Casbaneiro, Ponteiro  و  Coyote نیز وجود دارند. گسترش Grandoreiro موجب نفوذ این بدافزار به بیش از 1700 بانک در 45 کشور از هر قاره گردید و حتی دستگیری چندین عضو این گروه مانع ادامه فعالیت آنها نشد.

 در میان 30 خانواده پیشرو تروجان بانکی که در سراسر جهان شناسایی شده‌اند، منشا 11 خانواده، برزیل بوده و طبق بررسی محققان 22 درصد از کل شناسایی‌های کاربران در سال 2024 را تشکیل می‌دهند ( طبق آمار جمع آوری شده KSN از ژانویه تا اکتبر 2024).

۵. انتخاب هدف باج افزار… (پیش بینی صحیح بود)

پیش بینی شده بود که در سال ۲۰۲۴، گروه‌های باج‌افزار در انتخاب‌های اهداف خود گزینشی‌تر عمل خواهند کرد تا شانس خود را برای دریافت باج‌ به حداکثر برسانند. این پیش بینی صحیح بود. این رویکرد استراتژیک منجر به حملات هدفمندتر و مخرب علیه موسسات و سازمان‌های مالی گردید.

تمرکز اصلی گروه‌های باج افزاری در سال 2024 بر روی اهداف با ارزش به ویژه سازمان‌های بزرگ که درآمد آنها بیش از 5 میلیارد دلار است، بیشتر شد.

این گرایش همسو با تغییر به سمت هدف قرار دادن خدمات مالی به ویژه موسسات بانکی مشاهده شده است. بانک‌ها به تنهایی 20 درصد از حملات باج افزاری را تجربه کرده‌اند. میانگین تقاضای باج از سال 2023 تا 2024 به میزان 400هزار دلار افزایش یافته است و این امر بر پیگیری مهاجمان برای پرداخت بیشتر تاکید می‌کند.

۶. پکیج های بکدور منبع باز… (پیش بینی صحیح بود)

پیش بینی شده بود که پکیج‌های بکدور منبع باز در سال ۲۰۲۴ افزایش خواهند یافت. مجرمان سایبری از آسیب‌پذیری‌ها در نرم‌افزارهای متن‌باز پرکاربرد سوء استفاده می‌کنند، امنیت را به خطر می‌اندازند و به طور بالقوه منجر به نقض داده‌ها و خسارت های مالی می‌شوند. این پیش بینی محقق گردید.

بکدور XZ یک حمله بزرگ بود که بر توزیع لینوکس تاثیر می‌گذاشت. XZ Utils  مجموعه‌ای است که به طور گسترده در سیستم‌های سازگار با POSIX مانند لینوکس و یونیکس برای پردازش فایل‌های xz. از جمله کامپوننت‌هایی مانند liblzma و xz استفاده می‌شود که در مخازن توزیع مانند Debian،Ubuntu   و Centos ادغام شده‌اند.  تحلیل جامع این بکدور را می‌توانید از اینجا و اینجا بخوانید.

۷. کاهش آسیب پذیری‌های روز صفر و افزایش اکسپلویت‌های روز یک (پیش بینی نادرست بود)

پیش بینی شده بود که هکرها اتکای جُرم افزارهای خود را به آسیب‌ پذیری‌‌های روز صفر کاهش خواهد داد و در مقابل به اکسپلویت های روز یک یا یک روزه[2] روی خواهند آورد. این پیش بینی نادرست بود چرا که ترندهای اخیر نشان دهنده اتکای پایدار و حتی افزایش یافته به آسیب پذیری‌های روز صفر می‌باشد.

CVE.org در سال 2023، تعداد ۲۸,۹۶۱ آسیب پذیری را در کاتالوگ خود ثبت کرد در حالی که از ژانویه تا نوامبر 2024 این سامانه، ۲۹,۰۰۴ آسیب پذیری را به ثبت رسانده است که بالاترین تعداد ثبت شده تاکنون می‌باشد.

طبق گزارش  Rapid7 2024 Attack Intelligence Report، استفاده از اکسپلویت‌های روز صفر افزایش یافته است به طوری که 53 درصد از CVEهای مورد سوءاستفاده اخیر به عنوان حملات روز صفر به کار گرفته شده‌اند، ترندی که در دو الی سه سال گذشته مشاهده شده است.

بازار خرید و فروش اکسپلویت‌های روز صفر درحال رونق است و پرداخت‌های قابل توجه‌ای مانند 2 میلیون دلار برای اکسپلویت‌های روز صفر آیفون انجام می‌شود! در مقابل هیچ مدرکی دال بر افزا‌ش اکسپلویت‌های روز یک در میان گروه‌های تهدید سایبری وجود ندارد و تاکید می‌شود که حملات روز صفر همچنان تاکتیک اصلی در چشم انداز  تهدید امنیت سایبری می‌باشند.

۸. بهره برداری از دستگاه‌ها و سرویس‌های دارای پیکربندی نادرست… (پیش بینی صحیح بود)

پیش بینی شده بود که سوءاستفاده از دستگاه‌ها و سرویس‌های دارای پیکربندی نادرست در سال ۲۰۲۴ افزایش خواهند یافت و مجرمان سایبری از این نقاط ضعف برای ایجاد دسترسی غیرمجاز و انجام حملات استفاده خواهند کرد. این پیش بینی صحیح بود.

عملیات  EMERALDWHALEنشان دهنده این موضوع می‌باشد. این کمپین جهانی به صورت ویژه‌ای پیکربندی نادرست تنظیمات Git را مورد هدف قرار داد که منجر به ربودن 15 هزار داده لاگین و دسترسی غیرمجاز به 10 هزار مخزن خصوصی شد.

این هک گسترده خدمات مختلفی از جمله ارائه دهندگان سرویس‌های ابری و پلتفرم‌های ایمیل را در معرض نفوذ قرار داد که بر ماهیت عظیم آسیب پذیری‌های مرتبط با پیکربندی نادرست تاکید می‌کند. مهاجمان از ابزارهای خصوصی و خودکار برای اسکن، استخراج و تایید توکن‌های ربوده شده از سرویس‌های دارای پیکربندی نادرست استفاده می‌کنند.

۹. ترکیب و همکاری گروه های وابسته… (پیش بینی صحیح بود)

پیش بینی شده بود که گروه‌های وابسته در اکوسیستم جرایم سایبری ساختار منعطف‌تری از خود نشان خواهند داد، به طوری که اعضا اغلب به طور همزمان بین چندین گروه جابجا می‌شوند یا برای آنها کار می‌کنند. این سازگاری ردیابی و مبارزه موثر با جرایم سایبری را برای مجریان قانون دشوار خواهد کرد. این پیش بینی صحیح بود.

اکوسیستم باج افزار درسال2024 به طور فزاینده‌ای پویا و سازگارتر شده است و شرکت‌های وابسته رویکرد چند پلتفرمی را اتخاذ کرده‌اند. بسیاری از عوامل تهدید اکنون با چندین خانواده باج افزار به طور همزمان کار می‌کنند تا عملیات خود را بهینه کرده و خطرات مرتبط با تکیه بر یک گروه را کاهش دهند.

به عنوان مثال، محققان امنیت سایبری دریافتند که شرکت‌های وابسته به طور فعال در حملات خانواده‌های باج افزاری مختلف شرکت می‌کنند و بین گروه‌هایی مانند BlackMatter و گروه های نوظهور RansomHub  جابه جا می‌شوند.

۱۰. پذیرش زبان‌های کمتر محبوب/ کراس پلتفرم (چند پلتفرمی)… (پیش بینی صحیح بود)

پیش بینی شده بود هکرها در سال ۲۰۲۴ برای فرار از شناسایی به زبان‌های برنامه نویسی که کمتر شناخته شده یا چند پلتفرمی[3] مانند Golang و Rust به منظور ایجاد بدافزار و اکسپلویت آسیب پذیری‌ها روی خواهند آورد. این پیش بینی صحیح بود.

تهدیدات متعدد از پذیرش زبان‌های برنامه نویسی نسبتا جدید یا غیراستانداردی که برای توسعه بدافزار استفاده می‌شوند، به وجود آمدند. ابزارهایی مانند KrustyLoader (لودر ایمپلنتی که به زبان Rust نوشته شده است)،  NKAbuseیا حتی K4Spreader (لودری که توسط گروه 8220  استفاده می‌شود و به زبان Golang نوشته شده است) شناسایی شدند.

علاوه براین تروجان‌های جاسوس‌افزار، تروجان‌های بانکی و سایر بدافزارها با انگیزه مالی مشاهده شدند که در Go توسعه یافته‌اند. این یک سیگنال واضح از استفاده توسعه دهندگان بدافزار از این زبان‌ها می‌باشد. این زبان‌ها نه تنها به دلیل کاربردی بودن و قابلیت استفاده راحت برای سیستم عامل‌های مختلف بلکه به این دلیل که آنها تجزیه و تحلیل را به یک کار سخت تبدیل می‌کنند، مورد استقبال قرار خواهند گرفت.

۱۱. ظهور گروه‌های هکتیویست… (پیش بینی صحیح بود)

درگیری‌های سیاسی-اجتماعی منجر به افزایش گروه‌های هکتیویست می‌شود که بر اختلال در زیرساخت‌ها و سرویس های حیاتی تمرکز می‌کنند. این گروه ها، تهدید قابل توجهی برای موسسات مالی و سایر سازمان هایی که برای عملکرد جامعه حیاتی هستند، به شمار می‌آیند. این پیش بینی به دلیل درگیری‌ها و جنگ‌های جهانی محقق گردید.

حضور گروه های جدید در نقاط مختلف جهان و افزایش درگیری‌ها، زمینه مناسبی را برای فعالیت هکتیویست‌ها فراهم کرد.گروه‌هایی مانند CiberInteligenciaSV که یک گروه هکتیویست سالوادری است و سال 2024 فعالیت خود را آغاز کرده است، روزانه توانایی چندین نفوذ موفق را دارد.

SiegedSec و  GhostSecنیز دو گروه هکتیویسم هستند که به زیرساخت‌های بحرانی مانند گیرنده‌های ماهواره‌ای CS / SCADA و GNSS در کشورهای مختلف، عمدتا مناطق درگیر با رخدادهای ژئوپلیتیک حمله می‌کنند.

پیش بینی‌ جرم افزارها برای سال 2025

1. افزایش فعالیت رباینده‌ها (Stealer)

پیش بینی می‌شود که فعالیت بدافزارهای رباینده که اطلاعات قربانیان را جمع آوری می‌کنند در سال آینده، افزایش خواهد یافت که در نهایت منجر به افزایش جرایم سایبری خواهد شد. Lumma، Vidar،  RedLineو دیگر بدافزارهای رباینده از تکنیک‌های جدید به منظور دور زدن سیستم‌های امنیتی و جلوگیری از شناسایی استفاده می‌کنند.

2. حملات علیه بانک‌های مرکزی و طرح‌های بانکداری باز

بانک‌های مرکزی مسئول پیاده سازی و اجرای سیستمهای پرداخت آنی، CBDCها (ارزهای دیجیتال بانک مرکزی)، انتقال داده در حد گیگابایت بین نهادهای مالی از طریق طرح‌های بانکداری باز هستند. این امر بانک‌های مرکزی را به یک هدف جالب برای مجرمان سایبری تبدیل می‌کند. سیستم‌های بانکداری باز به شدت به APIها برای اشتراک گذاری داده متکی هستند.  APها می‌توانند در برابر سوءاستفاده آسیب پذیر باشند. جایی که مهاجمان، endpointهای API را دستکاری می‌کنند تا دسترسی غیرمجاز به داده‌های حساس را به دست آورند. محققان کسپرسکی انتظار دارند تعداد حملاتی که بانک‌های مرکزی و APIهای بانکداری باز را هدف قرار می‌دهد در سال ۲۰۲۵ به میزان قابل توجهی افزایش یابند.

3. افزایش حملات زنجیره تامین به پروژه‌های منبع باز

جامعه منبع باز در پی حملات بکدور XZ، شروع به بررسی دقیق‌تر هر کامیت در پروژه‌های OSS کرد. این بررسی ممکن است منجر به شناسایی بکدورهای قدیمی از پیش ایجاد شده و بکدورهای جدید شود.

4. تهدیدات جدید مبتنی بر بلاکچین

استفاده روزافزون استفاده از بلاکچین در فناوری‌های جدید و پذیرش فزاینده ارز دیجیتال به عنوان وسیله پرداخت، تهدیدات مرتبط با بلاکچین را افزایش خواهد داد. پروتکل‌های جدید با نیاز به یک شبکه امن و خصوصی مبتنی بر بلاکچین و شبکه همتا به همتا P2P ظاهر می‌شوند که توزیع و استفاده متنوع بدافزار جدید را براساس این پروتکل‌های مبهم تسهیل می‌سازند. این موضوع به افزایش استفاده از زبان‌های برنامه نویسی جدید مانند Go و  Rustمربوط می‌شود.

5.گسترش جرم افزارها چینی زبان در سراسر جهان

پیش بینی می‌شود در سال ۲۰۲۵ چندین خانواده جُرم افزار با منشا چینی ظهور خواهند کرد که اهداف خود را فراتر از آسیا گسترش خواهند داد و بر روی کاربران اروپا و آمریکای لاتین از طریق تروجان‌های بانکی اندرویدی و فیشینگ (که هدفشان شبیه سازی کارت‌های اعتباری است) تمرکز خواهند کرد. محققان انتظار دارند، جُرم افزارها چینی  با کشف فرصت‌های جدید و افزایش تعداد حملات، بطور قابل توجه به سایر کشورها و بازارهای جهان گسترش پیدا کنند.

6. data poisoning  یا مسمومیت داده‌های تغییر یافته از طریق باج افزار

باج افزار، داده‌های قربانیان را تغییر می‌دهد و یا بجای رمزگذاری داده‌ها، داده‌های نامعتبر را به زیرساخت‌های هدف تزریق می‌کند. این تکنیک که data poisoning یا مسمومیت داده  نام دارد، بازیابی داده‌های اصلی سازمان را حتی پس از رمزگشایی، دشوار یا غیر ممکن خواهد کرد.

7. باج افزار مقاوم در برابر کوانتوم

پیش بینی می‌شود که گروه‌های باج افزار پیشرفته با توسعه محاسبات کوانتومی، شروع به استفاده از رمزگذاری پس از کوانتومی خواهند کرد. تکنیک‌های رمزگذاری مورد استفاده توسط این قبیل باج افزارها برای مقاومت در برابر تلاش‌های رمزگشایی از سوی رایانه‌های کلاسیک و کوانتومی طراحی می‌شوند و تقریبا رمزگشایی داده‌های قربانیان را بدون پرداخت باج غیرممکن می‌سازند.

8. انطباق با مقررات توسط مهاجمان باج افزاری

مهاجمان با نظارت بر عملکرد یک شرکت، عمداً داده‌های آن را تغییر میدهند و یا رمزگذاری می‌کنند که این خود باعث ایجاد مشکلات مربوط به انطباق می‌شود. مهاجمان سپس فشار مالی و حقوقی بیشتری را به طرح اخاذی اضافه کرده و تهدید می‌کنند که در صورت برآورده نشدن خواسته‌هایشان به تنظیم کننده‌‍‌‌های مقررات و قوانین هشدار خواهند داد.

9. گسترش باج افزار به عنوان یک سرویس

مدل RaaS، طراحی و اجرای حملات باج افزاری را برای مجرمان سایبری آسان‌تر می‌کند. هکرهای کم تجربه می‌توانند حملات پیچیده‌ای را توسط کیت‌هایی به قیمت 40 دلار انجام و تعداد حملات باج افزاری را افزایش دهند.

10. استفاده بیشتر از هوش مصنوعی و یادگیری ماشین در بخش دفاعی

امروزه مکانیزم‌های متعدد امنیت سایبری از هوش مصنوعی برای رفع آسیب پذیری‌های رایج مانند خطاهای پیکربندی، مدیریت هشدار و موارد دیگر بهره می‌جویند. ما در آینده شاهد استفاده فزاینده از هوش مصنوعی در دفاع سایبری به منظور تسریع شناسایی ناهنجاری‌ها، کاهش مدت زمان تجزیه و تحلیل از طریق پیش بینی‌ها، پاسخگویی خودکار و تقویت سیاست‌ها برای مقابله با تهدیدات نوظهور خواهیم بود. هوش مصنوعی شناسایی را تسریع کرده و دفاع در برابر تهدیدات در حال تکامل را تقویت می‌کند.

11.افزایش حملات سایبری مالی که گوشی‌های هوشمند را مورد هدف قرار میدهند

محققان کسپرسکی دریافته‌اند درحالی که تعداد حملات به رایانه‌های شخصی با استفاده از بدافزارهای بانکی یا مالی سنتی کاهش یافته است، اما تهدیدات سایبری مالی علیه تلفن‌های هوشمند در حال رشد و افزایش می‌باشد. تعداد کاربرانی که در سال 2024 با تهدیدات مالی تلفن همراه مواجه شده‌اند دو برابر (102درصد) نسبت به سال 2023 افزایش یافته است. محققان انتظار دارند که این رقم در سال آینده باز هم افزایش یابد.

[1] Automated Transfer Systems

[2] 1-day exploit

[3] cross-platform

منبع