Banking&Finance obiettivo primario per i cyber criminali. Come difendersi?

Banking&Finance obiettivo primario per i cyber criminali. Come difendersi?

Le organizzazioni nel settore finanziario continuano ad essere prese di mira dagli hacker a livello globale, molti dei quali hanno come primario obiettivo quello di estorcere denaro chiedendo riscatti

Il settore finanziario e quello dei servizi commerciali e professionali sono stati gli obiettivi principali dei cyber criminali durante il 2021 (14% ciascuno). Questo è il dato che emerge dall’ultimo M-Trends Report 2022 di Mandiant, una ricerca annuale basata sulle investigazioni di incidenti informatici svolte in prima persona.

TI PIACE QUESTO ARTICOLO?

Iscriviti alla nostra newsletter per essere sempre aggiornato.

È da ormai diverso tempo che le aziende in questi settori sono costantemente prese di mira a livello globale. Le motivazioni principali sono due: la trasformazione digitale che avanza e la necessità di essere sempre connessi. Questi fattori comportano un allargamento del panorama delle minacce cyber, più le reti informatiche interne delle aziende sono interconnesse e più sono vulnerabili. La buona notizia è che, studiando nel dettaglio le informazioni più recenti sugli aggressori e sulle loro tattiche, tecniche e procedure (TTP) di attacco, i responsabili della sicurezza possono affrontare il problema in modo strutturato.

La cyber security è diventata un tema importante per i C-level

Negli ultimi anni, gli obiettivi di molti gruppi hacker sono cambiati, nel settore finanziario, ad esempio, ora vengono utilizzati con maggiore frequenza gli attacchi ransomware. Durante questi attacchi, gli hacker dopo aver ottenuto l’accesso alla rete della vittima, ne criptano i dati e li prendono “in ostaggio”. Successivamente, le vittime ricevono una richiesta di riscatto. Questi attacchi ransomware, in passato, erano spesso il risultato di un’attività di “malware spamming”, cioè attraverso una distribuzione di massa del malware, ora invece sta prendendo piede un nuovo trend: gli attacchi ransomware sono mirati, le vittime vengono accuratamente selezionate e talvolta gli attacchi sono preparati per mesi.

“Questo trend sta alterando le modalità con cui le organizzazioni nel settore finanziario devono considerare il problema”, dichiara Gabriele Zanoni, Consulting Country Manager di Mandiant. “Non si tratta più quindi di eventi casuali, ora è un problema strategico e l’immediata conseguenza è che questo tema non è più ora solo un problema di sicurezza informatica, è a tutti gli effetti diventato un problema di business da trattare a livello di dirigenza e consigli di amministrazione”.

Le minacce più rilevanti per il settore finanziario

Conoscere i propri nemici meglio di quanto loro conoscono sé stessi: questa è la regola per incrementare la propria sicurezza. Anche se i criminali informatici cambiano regolarmente le loro tattiche, è ancora possibile identificare similitudini nei diversi attacchi. Chi conosce questi schemi, ad esempio attingendo ad informazioni di cyber threat intelligence, cioè alla conoscenza del modus operandi degli attaccanti, può prioritizzare con efficacia le attività di messa in sicurezza della propria rete.

Leggi anche:  Presentare le soluzioni Zero Trust all'amministratore delegato e al CdA: una guida completa per i CISO

Attacchi ransomware in aumento

Gli attacchi motivati dal fatto di voler ottenere un ritorno economico hanno continuato a rappresentare una percentuale elevata tra tutti gli attacchi nel 2021, come nel corso degli anni precedenti. Secondo il report M-Trends, 3 attacchi su 10 hanno infatti avuto come obiettivo il guadagno economico. Si tratta aggressioni che hanno fatto uso di metodi di estorsione, riscatto o che hanno comportato il furto di carte di pagamento e permesso trasferimenti illeciti di denaro.

Gli hacker impiegano diverso tempo per preparare gli attacchi ransomware. Spesso si muovono nelle reti delle loro vittime senza farsi rilevare per diversi giorni e arrivano a conoscere nel dettaglio i sistemi informatici delle loro vittime: sono in grado di identificare quali sono le aree critiche per la sopravvivenza del business della vittima e usano queste informazioni per colpire là dove l’impatto è maggiore.

Gli hacker, a volte, cercano “insider” interno delle aziende che vogliono attaccare per farsi dare credenziali valide e spartire il riscatto.

“In questi casi il riscatto richiesto può essere elevato, negli ultimi tempi abbiamo assistito a un aumento considerevole dell’ammontare di queste richieste di estorsione”, aggiunge Zanoni.

Stiamo assistendo anche a un aumento di gruppi hacker particolarmente specializzati che collaborano per sfruttare al massimo i rispettivi punti di forza per portare a termine attacchi sempre più complessi, come quelli volti alla compromissione delle supply chain.

Le estorsioni danneggiano la reputazione degli istituti di credito

Un altro trend visibile è che gli attacchi ransomware sono sempre più spesso pianificati per avere diverse leve di ricatto. La cifratura dei dati e dei sistemi è solo la prima fase dell’attacco. La seconda è la minaccia di pubblicare informazioni trafugate. Questo diventa strategicamente rilevante per l’istituzione ricattata: se gli hacker dovessero avvisare la stampa e il pubblico di essere in possesso di informazioni importanti prese dai sistemi della vittima, ciò potrebbe avere conseguenze anche sui dati dei relativi clienti e portare a danni reputazionali. L’annuncio della divulgazione di informazioni sensibili può essere pericoloso: le società finanziarie devono affrontare una battaglia di difesa interdisciplinare che comprende, non solo il dipartimento IT e i consigli di amministrazione, ma anche i dipartimenti di public relation e gli uffici legali.

Altre tattiche: dagli exploit zero-day al web skimming

Oltre al ransomware, i gruppi hacker utilizzano i seguenti attacchi per colpire il settore finanziario:

  • Gli exploit zero-day cioè quelle vulnerabilità di sicurezza di cui le aziende non sono conoscenza per il fatto che nemmeno il produttore del software vulnerabile lo era.
  • Gli attacchi alla supply chain sono una delle tendenze più recenti. La crescente specializzazione degli attaccanti e la fusione di singoli gruppi di hacker con competenze differenti hanno aperto loro nuove opportunità. Invece di attaccare direttamente una banca, ad esempio, si infiltrano in un’azienda il cui software o il provider di servizi è utilizzato dal maggior numero possibile di istituti di credito. L’hacker compromette così molti altri istituti attraverso la supply chain. Si potrebbe dire che invece di ottenere la chiave di un singolo appartamento, gli hacker rubano un passe-partout valido per un condominio intero.
  • Nelle attività di web skimming gli hacker prelevano i dati di pagamento dei clienti dagli shop online o dai siti che gestiscono i pagamenti per rubare loro denaro. Anche in questo caso il tutto avviene solitamente tramite un attacco alla supply chain, in cui codice malevolo viene inserito sul sito web dello shop online tramite un qualche fornitore/terza parte precedentemente compromessa. Dato che con questa modalità vengono rubati i dati bancari dei clienti, anche gli istituti di credito sono parte delle vittime di questo attacco.
  • Il furto di criptovalute è d’interesse per gli hacker per due ragioni: permette di arricchirsi e allo stesso tempo di sfruttare la complessità nel tracciamento delle criptovalute per riciclare denaro. Le vittime di questi furti non sono solo i proprietari di Bitcoin ed Ethereum ma anche i loro istituti.
Leggi anche:  Commvault e Lenovo semplificano la protezione dei dati aziendali e velocizzano il ripristino nel cloud ibrido

Chi sono i colpevoli?

Gli attacchi di hacking su larga scala sono spesso commessi da criminali informatici state sponsored e i principali protagonisti sono i “Big Four”: Cina, Iran, Corea del Nord e Russia. Quali sono le loro motivazioni? Possono essere molto diverse, come dimostrato dagli esempi di Corea del Nord e della Russia.

Nel caso della Corea del Nord si tratta principalmente di motivazioni politiche e finanziarie. Il regime di Pyongyang è tagliato fuori dai maggiori flussi di denaro a causa delle sanzioni internazionali e il cyber crime è un importante mezzo di finanziamento per lo Stato. Inoltre, la sua economia ne sta soffrendo molto a causa della pandemia, il che fornisce un ulteriore incentivo a ottenere entrate dalle operazioni cyber. Ad esempio, si ritiene che l’attacco malware WannaCry su larga scala che ha colpito centinaia di migliaia di computer in 150 Paesi nel 2017 e che ha infettato, tra gli altri, il sistema sanitario NHS del Regno Unito o la Deutsche Bahn, abbia avuto origine da un gruppo di hacker nordcoreani.

Relativamente alla Russia, molti attacchi informatici sono motivati politicamente. In passato, molti degli attacchi erano specificamente mirati a destabilizzare l’Ucraina. Dall’inizio dell’attuale crisi, gli hacker hanno utilizzato malware di tipo wiper, per cancellare i dati importanti all’interno delle reti violate. Gli attacchi della Russia hanno coinvolto anche istituti di credito ucraini e sono stati condotti per turbare la popolazione riguardo la stabilità del sistema finanziario. Quando gli ucraini hanno ricevuto la notizia di non aver più accesso ai propri conti bancari, il panico si è diffuso rapidamente. Gli attacchi informatici fanno parte della guerra psicologica. È possibile che gli hacker russi ad un certo punto prendano di mira anche la Germania con metodi simili, come ritorsione per le sanzioni contro la Russia e il sostegno che la Germania fornisce all’Ucraina.

Leggi anche:  Phishing tramite ESP: Kaspersky svela una nuova truffa che prende di mira le PMI

Contromisure e conclusioni: come gli istituti di credito possono difendersi

Gli attacchi ai sistemi informatici avvengono in diverse fasi. Ad esempio, gli hacker dei gruppi ransomware devono, in prima battuta, individuare un punto di ingresso, una volta arrivati all’interno della rete devono identificare i sistemi più rilevanti, a questo punto sottraggono i dati e in ultimo cifrano i computer per sferrare così il colpo decisivo. Queste fasi possono essere definite il “ciclo di vita dell’attacco”. Per poter identificare gli attacchi nelle loro diverse fasi, è necessario che anche la risposta agli attacchi sia a più livelli. Ad esempio, inserendo nelle reti controlli che possano rendere difficile per gli hacker il passare da una fase all’altra del loro piano di attacco. È necessaria una valutazione sistematica dei rischi dell’infrastruttura informatica delle banche e la successiva selezione ed installazione di soluzioni di sicurezza specifiche per contrastare le fasi degli attacchi dove c’era minore visibilità e possibilità di mitigazione.

“Essere consapevoli di come operano i gruppi hacker consente agli specialisti di cyber security di proteggere più efficacemente le banche dalle minacce informatiche e salvaguardare così i propri sistemi”, conclude Zanoni. “La collaborazione con esperti esterni sui temi di Incident Response e Threat Intelligence permette ai responsabili della sicurezza degli istituti di credito di sfruttare il know-how più aggiornato per contrastare le minacce cyber più sofisticate”.

Questo non ha solo un vantaggio tecnico, ma anche un importante risvolto psicologico. Gli istituti di credito non sono più vittime, ma soggetti attivi che rafforzano la loro resilienza informatica proteggendo i propri dati critici e quelli dei loro clienti.