Carbanak 网络犯罪团伙正在改变策略,它将针对酒店、 餐饮、和工业。
医疗行业是网络罪犯的一个特殊目标,医疗信息是地下的一种珍贵的交易商品。
医疗行业是2015年头号网络犯罪目标,根据IBM银行业持有的顶部位置进行了研究。
2015 年,超过 1 亿的医疗记录被破坏,根据 IBM 的“2016年网络安全情报指数”。它基于数据收集 2015 年 1 月 1 日至 2015 年 12 月 13 日,来自 100 多个国家的超过 8,000 客户端设备。
独立报告说,“八个最大的医疗安全漏洞的,自2015年初以来,超过一百万记录受损,发生在2015年前6个月。”
交易医疗客户信息是名副其实的网络犯罪,提供他们获得信用卡数据、 社会安全号码、 就业信息和病史记录。这些可以用在犯下欺诈和身份信息窃取。
最近的发现证实了最大的犯罪组织,在医疗保健行业中的高利润。
Carbanak 网络犯罪团伙据称偷了10亿来自世界各地的金融机构信息,现在不断变化的战略和目标,它针对酒店、 餐厅和工业。
“在上个月网络爬行蜘蛛实验室正在由两个单独的款待客户端和一个餐厅连锁店,对攻击者进行调查。所有三个调查手法十分类似,似乎是新 Carbanak 岗的攻击方法,专注于酒店业。“网络爬行蜘蛛实验室报道。
据网络爬行蜘蛛实验室的安全专家表示,Carbanak岗在上周开始采用新的技术和恶意软件。黑客发起鱼叉式网路钓鱼对业内人士试图哄骗,受害者阅读带有恶意宏含有文档的电子邮件。
在遵守安全公司的攻击,攻击者称为客户接触线说他们正面临问题使用他们的在线服务,并要求将他们的信息发送到通过电子邮件代理。攻击者一直呆到代理打开电子邮件中包含附件然后受害者有打开恶意消息时,他挂了电话。
“电子邮件附件是一个恶意的 Word 文档,其中包含已编码VBS脚本能窃取的信息系统,桌面屏幕截图,并下载额外的恶意软件”。读取Carbanak攻击的分析。“恶意的VB脚本将使用宏搜索找到的系统中运行的,如果Microsoft Word实例,它会清除现有的文本,并替换为下面的文本”。
黑客首先下载一个用作侦察工具在第一阶段的攻击的恶意软件,它是能够下载最受欢迎的黑客工具,包括 Nmap、 公路局、 FreeRDP、 NPing。
后来它还可以下载允许进行下一阶段的攻击的附加载荷。
最终目标是窃取敏感信息和信用卡数据从受感染的机器,包括与 Carbanak 恶意软件很难检测到重新编译版本的销售点系统内存。
“这种恶意软件可能会窃取信用卡数据,以及屏幕截图,键盘记录信息,电子邮件地址从 PST 文件启用 RDP 或 VNC 会话,或者要获得额外的系统信息.”
这种恶意软件建立在受害者的计算机上的后门,以获得对它的完全控制。它通过在下列 IP 地址与端口 443 上的加密隧道进行通信︰
- 5.45.179.173
- 92.215.45.94
所有 exfiltrated信息是使用base64 + RC2 加密,和通过HTTP POST消息发送。
新赛季开始大约六个星期前,Trustwave公司还公布了一份名单,新鲜的IOC(妥协的指标),可以帮助管理员和安全专家检测到的威胁。
“ 敬业精神和这场运动的普及程度是很少能看到网络爬行蜘蛛实验室的一级。使用恶意软件是很多方面的还不被大多数 (如果有) 的防病毒引擎。社会工程是针对性很强,通过直接的电话进行威胁演员与优秀的英语能力。网络侦察和横向运动是快速和高效。最后,数据可以进入降落方法是隐身和有效。”读取网络爬行蜘蛛实验室报告的结论。
事实上像Carbanak 一样的犯罪团伙正在改变战术针对医疗保健行业代表的骗子行业盈利能力的明确指标。
根据FastCompany网站的一篇文章,完整的医疗记录被卖到60美元,根据和暗网相比,一件偷来的信用卡销售约为3美元。
布鲁金斯研究所称,2009 年以来,超过 1 亿 5500 万的医疗信息可能受到近1500的违规事件。