M-Trends Report 2022 ha rilevato che nel 2021 i servizi bancari e il settore bancario sono stati gli obiettivi principali a cui hanno puntato i cybercriminali. È da ormai diverso tempo che le aziende in questi settori sono costantemente prese di mira a livello globale. Le motivazioni principali sono due: la trasformazione digitale che avanza e la necessità di essere sempre connessi. Questi fattori comportano un allargamento del panorama delle minacce cyber, più le reti informatiche interne delle aziende sono interconnesse e più sono vulnerabili. La buona notizia è che, studiando nel dettaglio le informazioni più recenti sugli aggressori e sulle loro tattiche, i responsabili della sicurezza affrontano il problema in modo strutturato.
La cybersecurity è diventata un tema importante per i C-level
Negli ultimi anni, gli obiettivi di molti gruppi hacker sono cambiati, nel settore finanziario, ad esempio, ora vengono utilizzati con maggiore frequenza gli attacchi ransomware. Durante gli attacchi, gli hacker dopo aver ottenuto l’accesso alla rete della vittima, ne criptano i dati e li prendono “in ostaggio”. Poi le vittime ricevono una richiesta di riscatto. Gli attacchi ransomware, in passato, erano spesso il risultato di un’attività di “malware spamming”, cioè attraverso una distribuzione di massa del malware. Ora invece gli attacchi ransomware sono mirati, le vittime vengono selezionate e talvolta gli attacchi sono preparati per mesi.
Chi c’è nel mirino del cybercrime
Gabriele Zanoni, Consulting Country Manager di Mandiant
Questo trend sta alterando le modalità con cui le organizzazioni nel settore finanziario devono considerare il problema. Non si tratta più quindi di eventi casuali. Adesso è un problema strategico.L’immediata conseguenza è che questo tema non è più solo un problema di sicurezza informatica. Invece a tutti gli effetti è diventato un problema di business da trattare a livello di dirigenza e consigli di amministrazione.
Le minacce più rilevanti per il settore finanziario
Conoscere i propri nemici meglio di quanto loro conoscono sé stessi: questa è la regola per incrementare la propria sicurezza. Anche se i criminali informatici cambiano regolarmente le loro tattiche, è ancora possibile identificare similitudini nei diversi attacchi. Chi conosce questi schemi, ad esempio attingendo ad informazioni di cyber threat intelligence, può prioritizzare con efficacia le attività di messa in sicurezza della propria rete.
Servizi bancari – Attacchi ransomware in aumento
Gli attacchi motivati dal fatto di voler ottenere un ritorno economico hanno continuato a rappresentare una percentuale elevata tra tutti gli attacchi nel 2021. Secondo il report M-Trends, 3 attacchi su 10 hanno infatti avuto come obiettivo il guadagno economico. Si tratta aggressioni che hanno fatto uso di metodi di estorsione, riscatto o che hanno comportato il furto di carte di pagamento e permesso trasferimenti illeciti di denaro.
Come agiscono gli hacker
Gli hacker impiegano diverso tempo per preparare gli attacchi ransomware. Spesso si muovono nelle reti delle loro vittime senza farsi rilevare per diversi giorni e arrivano a conoscere nel dettaglio i sistemi informatici delle loro vittime. Sono in grado di identificare quali sono le aree critiche per la sopravvivenza del business della vittima. Usando queste informazioni per colpire là dove l’impatto è maggiore. Gli hacker, a volte, cercano “insider” interno delle aziende che vogliono attaccare per farsi dare credenziali valide e spartire il riscatto.
Finanza e i servizi bancari al primo posto nel mirino del cybercrime
Stiamo assistendo anche a un aumento di gruppi hacker particolarmente specializzati. I gruppi collaborano per sfruttare al massimo i rispettivi punti di forza e portare a termine attacchi sempre più complessi, come quelli volti alla compromissione delle supply chain. Un altro trend visibile è che gli attacchi ransomware sono sempre più spesso pianificati per avere diverse leve di ricatto. La cifratura dei dati e dei sistemi è solo la prima fase dell’attacco.
Le estorsioni danneggiano la reputazione degli istituti di credito
La seconda è la minaccia di pubblicare informazioni trafugate. Questo diventa strategicamente rilevante per l’istituzione ricattata. Gli hacker potrebbero avvisare la stampa e il pubblico di essere in possesso di informazioni importanti prese dai sistemi della vittima. Ciò potrebbe avere conseguenze anche sui dati dei relativi clienti e portare a danni reputazionali. L’annuncio della divulgazione di informazioni sensibili può essere pericoloso. Le società finanziarie devono affrontare una battaglia di difesa interdisciplinare che comprende dipartimento IT e cda, i dipartimenti di public relation e gli uffici legali.
Altre tattiche: dagli exploit zero-day al web skimming
Oltre al ransomware, i gruppi hacker utilizzano i seguenti attacchi per colpire il settore finanziario:
- Gli exploit zero-day. Cioè quelle vulnerabilità di sicurezza di cui le aziende non sono conoscenza per il fatto che nemmeno il produttore del software vulnerabile lo era.
- Gli attacchi alla supply chain sono una delle tendenze più recenti. La crescente specializzazione degli attaccanti e la fusione di singoli gruppi di hacker con competenze differenti hanno aperto loro nuove opportunità.
- Nelle attività di web skimming gli hacker prelevano i dati di pagamento dei clienti dagli shop online o dai siti che gestiscono i pagamenti per rubare loro denaro. Anche in questo caso il tutto avviene solitamente tramite un attacco alla supply chain.
- Il furto di criptovalute è d’interesse per gli hacker per due ragioni. Primo permette di arricchirsi e poi di sfruttare la complessità nel tracciamento delle criptovalute per riciclare denaro. Le vittime di questi furti non sono solo i proprietari di Bitcoin ed Ethereum ma anche i loro istituti.
Chi sono i colpevoli?
Gli attacchi di hacking su larga scala sono spesso commessi da criminali informatici state sponsored. I principali protagonisti sono i “Big Four”: Cina, Iran, Corea del Nord e Russia. Quali sono le loro motivazioni? Possono essere molto diverse, come dimostrato dagli esempi di Corea del Nord e della Russia. Nel caso della Corea del Nord si tratta principalmente di motivazioni politiche e finanziarie. Il regime di Pyongyang è tagliato fuori dai maggiori flussi di denaro a causa delle sanzioni internazionali e il cyber crime è un importante mezzo di finanziamento per lo Stato.
Al primo posto nel mirino del cybercrime la finanza e i servizi bancari
Relativamente alla Russia, molti attacchi informatici sono motivati politicamente. In passato, molti degli attacchi erano specificamente mirati a destabilizzare l’Ucraina. Dall’inizio dell’attuale crisi, gli hacker hanno utilizzato malware di tipo wiper, per cancellare i dati importanti all’interno delle reti violate. Gli attacchi della Russia hanno coinvolto anche istituti di credito ucraini per turbare la popolazione riguardo la stabilità del sistema finanziario. Gli attacchi informatici fanno parte della guerra psicologica.
Come gli istituti di credito possono difendersi
Gli attacchi ai sistemi informatici avvengono in diverse fasi. Queste fasi possono essere definite il “ciclo di vita dell’attacco”. Per poter identificare gli attacchi nelle loro diverse fasi, è necessario che anche la risposta agli attacchi sia a più livelli. Ad esempio, inserendo nelle reti controlli che possano rendere difficile per gli hacker il passare da una fase all’altra del loro piano di attacco. È necessaria una valutazione sistematica dei rischi dell’infrastruttura informatica delle banche. Oltre all’installazione di soluzioni di sicurezza specifiche per contrastare le fasi degli attacchi dove c’era minore visibilità e possibilità di mitigazione.
Contromisure e conclusioni
Gabriele Zanoni, Consulting Country Manager di Mandiant
Essere consapevoli di come operano i gruppi hacker consente agli specialisti di cyber security di proteggere più efficacemente le banche dalle minacce informatiche. Oltre a salvaguardare così i propri sistemi. La collaborazione con esperti esterni sui temi di Incident Response e Threat Intelligence permette ai responsabili della sicurezza degli istituti di credito di sfruttare il know-how più aggiornato. Così da contrastare le minacce cyber più sofisticate.