Settore finanziario obiettivo primario per i cyber criminali

Le organizzazioni nel settore finanziario continuano ad essere prese di mira dagli hacker a livello globale, molti dei quali hanno come primario obiettivo quello di estorcere denaro chiedendo riscatti.

Il settore finanziario e quello dei servizi commerciali e professionali sono stati gli obiettivi principali dei cyber criminali durante il 2021 (14% ciascuno), secondo quanto emerge dall’ultimo M-Trends Report 2022 di Mandiant, una ricerca annuale basata sulle investigazioni di incidenti informatici svolte in prima persona.

È da ormai diverso tempo che le aziende in questi settori sono costantemente prese di mira a livello globale. Le motivazioni principali sono due: la trasformazione digitale che avanza e la necessità di essere sempre connessi. Questi fattori comportano un allargamento del panorama delle minacce cyber, più le reti informatiche interne delle aziende sono interconnesse e più sono vulnerabili. La buona notizia è che, studiando nel dettaglio le informazioni più recenti sugli aggressori e sulle loro tattiche, tecniche e procedure (TTP) di attacco, i responsabili della sicurezza possono affrontare il problema in modo strutturato.

Negli ultimi anni, gli obiettivi di molti gruppi hacker sono cambiati, nel settore finanziario, ad esempio, ora vengono utilizzati con maggiore frequenza gli attacchi ransomware. Durante questi attacchi, gli hacker dopo aver ottenuto l’accesso alla rete della vittima, ne criptano i dati e li prendono “in ostaggio”. Successivamente, le vittime ricevono una richiesta di riscatto. Questi attacchi ransomware, in passato, erano spesso il risultato di un’attività di “malware spamming”, cioè attraverso una distribuzione di massa del malware, ora invece sta prendendo piede un nuovo trend: gli attacchi ransomware sono mirati, le vittime vengono accuratamente selezionate e talvolta gli attacchi sono preparati per mesi.

“Questo trend sta alterando le modalità con cui le organizzazioni nel settore finanziario devono considerare il problema”, dichiara Gabriele Zanoni, Consulting Country Manager di Mandiant. “Non si tratta più quindi di eventi casuali, ora è un problema strategico e l’immediata conseguenza è che questo tema non è più ora solo un problema di sicurezza informatica, è a tutti gli effetti diventato un problema di business da trattare a livello di dirigenza e consigli di amministrazione”.

Le minacce più rilevanti per il settore finanziario

nche se i criminali informatici cambiano regolarmente le loro tattiche, è ancora possibile identificare similitudini nei diversi attacchi. Chi conosce questi schemi, ad esempio attingendo ad informazioni di cyber threat intelligence, cioè alla conoscenza del modus operandi degli attaccanti, può prioritizzare con efficacia le attività di messa in sicurezza della propria rete.

Gli attacchi motivati dal fatto di voler ottenere un ritorno economico hanno continuato a rappresentare una percentuale elevata tra tutti gli attacchi nel 2021, come nel corso degli anni precedenti. Secondo il report M-Trends, 3 attacchi su 10 hanno infatti avuto come obiettivo il guadagno economico. Si tratta aggressioni che hanno fatto uso di metodi di estorsione, riscatto o che hanno comportato il furto di carte di pagamento e permesso trasferimenti illeciti di denaro.

Gli hacker impiegano diverso tempo per preparare gli attacchi ransomware. Spesso si muovono nelle reti delle loro vittime senza farsi rilevare per diversi giorni e arrivano a conoscere nel dettaglio i sistemi informatici delle loro vittime: sono in grado di identificare quali sono le aree critiche per la sopravvivenza del business della vittima e usano queste informazioni per colpire là dove l’impatto è maggiore.

Gli hacker, a volte, cercano “insider” interno delle aziende che vogliono attaccare per farsi dare credenziali valide e spartire il riscatto.

Stiamo assistendo anche a un aumento di gruppi hacker particolarmente specializzati che collaborano per sfruttare al massimo i rispettivi punti di forza per portare a termine attacchi sempre più complessi, come quelli volti alla compromissione delle supply chain.

Un altro trend visibile è che gli attacchi ransomware sono sempre più spesso pianificati per avere diverse leve di ricatto. La cifratura dei dati e dei sistemi è solo la prima fase dell’attacco. La seconda è la minaccia di pubblicare informazioni trafugate. Questo diventa strategicamente rilevante per l’istituzione ricattata: se gli hacker dovessero avvisare la stampa e il pubblico di essere in possesso di informazioni importanti prese dai sistemi della vittima, ciò potrebbe avere conseguenze anche sui dati dei relativi clienti e portare a danni reputazionali. L’annuncio della divulgazione di informazioni sensibili può essere pericoloso: le società finanziarie devono affrontare una battaglia di difesa interdisciplinare che comprende, non solo il dipartimento IT e i consigli di amministrazione, ma anche i dipartimenti di public relation e gli uffici legali.

Oltre al ransomware, i gruppi hacker utilizzano i seguenti attacchi per colpire il settore finanziario:

  • Gli exploit zero-day cioè quelle vulnerabilità di sicurezza di cui le aziende non sono conoscenza per il fatto che nemmeno il produttore del software vulnerabile lo era.
  • Gli attacchi alla supply chain sono una delle tendenze più recenti. La crescente specializzazione degli attaccanti e la fusione di singoli gruppi di hacker con competenze differenti hanno aperto loro nuove opportunità. Invece di attaccare direttamente una banca, ad esempio, si infiltrano in un’azienda il cui software o il provider di servizi è utilizzato dal maggior numero possibile di istituti di credito. L’hacker compromette così molti altri istituti attraverso la supply chain. Si potrebbe dire che invece di ottenere la chiave di un singolo appartamento, gli hacker rubano un passe-partout valido per un condominio intero.
  • Nelle attività di web skimming gli hacker prelevano i dati di pagamento dei clienti dagli shop online o dai siti che gestiscono i pagamenti per rubare loro denaro. Anche in questo caso il tutto avviene solitamente tramite un attacco alla supply chain, in cui codice malevolo viene inserito sul sito web dello shop online tramite un qualche fornitore/terza parte precedentemente compromessa. Dato che con questa modalità vengono rubati i dati bancari dei clienti, anche gli istituti di credito sono parte delle vittime di questo attacco.
  • Il furto di criptovalute è d’interesse per gli hacker per due ragioni: permette di arricchirsi e allo stesso tempo di sfruttare la complessità nel tracciamento delle criptovalute per riciclare denaro. Le vittime di questi furti non sono solo i proprietari di Bitcoin ed Ethereum ma anche i loro istituti.

Chi sono i colpevoli?

Gli attacchi di hacking su larga scala sono spesso commessi da criminali informatici state sponsored e i principali protagonisti sono i “Big Four”: Cina, Iran, Corea del Nord e Russia. Quali sono le loro motivazioni? Possono essere molto diverse, come dimostrato dagli esempi di Corea del Nord e della Russia.

Nel caso della Corea del Nord si tratta principalmente di motivazioni politiche e finanziarie. Il regime di Pyongyang è tagliato fuori dai maggiori flussi di denaro a causa delle sanzioni internazionali e il cyber crime è un importante mezzo di finanziamento per lo Stato. Inoltre, la sua economia ne sta soffrendo molto a causa della pandemia, il che fornisce un ulteriore incentivo a ottenere entrate dalle operazioni cyber. Ad esempio, si ritiene che l’attacco malware WannaCry su larga scala che ha colpito centinaia di migliaia di computer in 150 Paesi nel 2017 e che ha infettato, tra gli altri, il sistema sanitario NHS del Regno Unito o la Deutsche Bahn, abbia avuto origine da un gruppo di hacker nordcoreani.

Relativamente alla Russia, molti attacchi informatici sono motivati politicamente. In passato, molti degli attacchi erano specificamente mirati a destabilizzare l’Ucraina. Dall’inizio dell’attuale crisi, gli hacker hanno utilizzato malware di tipo wiper, per cancellare i dati importanti all’interno delle reti violate. Gli attacchi della Russia hanno coinvolto anche istituti di credito ucraini e sono stati condotti per turbare la popolazione riguardo la stabilità del sistema finanziario. Quando gli ucraini hanno ricevuto la notizia di non aver più accesso ai propri conti bancari, il panico si è diffuso rapidamente. Gli attacchi informatici fanno parte della guerra psicologica. È possibile che gli hacker russi ad un certo punto prendano di mira anche la Germania con metodi simili, come ritorsione per le sanzioni contro la Russia e il sostegno che la Germania fornisce all’Ucraina.

cyber