防病毒制造商表示，随着恶意软件的增加，银行面临“至暗时刻”

卡巴斯基首席安全研究员 Sergey Lozhkin 表示，如今针对银行和其他金融服务组织的犯罪软件具有复杂的功能和逃避工具。

“现在对金融业来说是最黑暗的时刻，尤其是对大中型企业而言，”洛日金在一场关于金融服务组织面临的威胁的小组讨论中说。

BlackLotus 是一种用于后门 Windows 机器的统一可扩展固件接口 (UEFI) 固件 rootkit，就是这样一种新发现的工具。卡巴斯基尚未发布有关恶意植入的完整研究，但 Lozhkin 表示，本月早些时候，它在网络犯罪现场以 5,000 美元的价格出售。

该恶意代码允许不法分子绕过计算机的安全启动功能，该功能旨在防止计算机运行未经授权的软件。相反，通过以 UEFI 为目标，BlackLotus 恶意软件在启动过程中的任何其他内容之前加载，包括操作系统和任何可以阻止它的安全工具。

“所以基本上，如果一个坏人可以访问网络或计算机，他可以安装这个工具，它在 UEFI 级别上将完全未被检测到，完全持久，”Lozhkin 说。

如果坏人可以访问网络或计算机，他可以安装此工具，并且在 UEFI 级别上完全不被发现、完全持久

BlackLotus 和其他复杂的恶意软件通常（但不限于）由政府级团队使用，这些团队拥有雄厚的财力和高技能的开发人员。犯罪分子也可以得到这些工具。

“以前这些威胁和技术只有开发高级持续威胁的人才能访问，主要是政府，”洛日金声称。“现在这些工具都掌握在整个论坛的犯罪分子手中。”

他在这样的一个论坛上看到 BlackLotus 后，“我立即想要它，因为我需要对其进行逆向工程并立即警告我们的客户，”Lozhkin 补充道。

如何抓住骗子

Lozhkin 每天都在监控通过这些邪恶渠道共享的犯罪地下论坛和逆向工程恶意软件，他之前是 JP Morgan Chase 的网络安全运营副总裁。

虽然由于正在进行的调查目的，他不会说出他看到潜伏在阴影中的网络犯罪团伙的名字，但这些出于经济动机的网络犯罪分子已经非常擅长重新利用政府创造的网络间谍工具来实施大规模的银行抢劫——比如10 亿欧元抢劫渗透到 40 个国家的 100 多家金融机构。

Lozhkin 是参与拆除的私人安全研究人员之一，由西班牙国家警察领导，得到欧洲刑警组织、美国联邦调查局以及罗马尼亚、摩尔多瓦、白俄罗斯和台湾当局的支持。

“现代犯罪软件非常复杂，编写这些工具的人非常非常聪明，”Lozhkin 说。“有时他们甚至不需要编写任何代码。既然可以在网上轻松购买，为什么还要编写自己的代码呢？”

红队工具坏了

例如：勒索软件团伙和 Cobalt Strike。这是一种合法的渗透测试工具，此后已成为网络犯罪分子最喜欢的一种方法，用于横向移动受害者的网络、建立持久性以及下载和执行恶意负载。

“然后我们有Brute Ratel，”洛日金说。

当然，这是由前 Mandiant 红队队员开发的后开发工具包。这种几乎无法检测到的恶意软件可以逃避防病毒和端点检测和响应软件，在地下论坛免费泄露破解版本之前，它的售价为 3,000 美元。

“我看到去年使用法律工具攻击金融机构的人数大幅增加，”洛日金说。“Cobalt Strike 无处不在。Brute Ratel 无处不在。”

他补充说，这说明了这些类型的软件工具的“最大问题”，它们在 IT 环境中模拟对手并旨在保持不被发现。

“当你在制造一种武器时——我认为这是一种网络武器，一种非常危险的工具，可以用来渗透到每一个组织、每家公司——网络犯罪分子会立即得到这个工具并用它来对付组织，”洛日金说。

与此同时，勒索软件经济蓬勃发展

此外，所有这些出售的恶意工具也有助于蓬勃发展的初始访问经纪人经济。这些是犯罪分子，他们出售或提供进入组织的途径以收取费用或削减利润。然后，勒索者使用此访问权限来窃取敏感数据，使用勒索软件加密文件，并要求付款以对入侵保持沉默并清理混乱。

“这些家伙无处不在：他们侵入一个组织并出售访问权限，”洛日金说，并补充说，犯罪分子认为会支付赎金要求的高收入公司的初始访问权限可能高达 50,000 美元。

“这些数据的最终客户是勒索软件组，”他指出。勒索软件团伙有自己的论坛，而且他们也越来越擅长交易，使用现代编程语言编写代码，使用非标准密码术锁定组织文件，甚至使用专业的商业运营模式。

Lozhkin 表示，勒索软件开发人员也变得越来越专业，而最近的市场低迷和大型科技公司的裁员也无济于事。“很多人来到黑暗面，因为黑暗面正在招聘。”

不知何故，尽管他仍然保持乐观。“最黑暗的时刻就在黎明前。有光。总有光，”洛日金说。

经过数周针对学校和医院的勒索软件攻击，以及针对美国机场的宣传噱头，这种乐观情绪很难让人分享。但在这里希望他是对的。