Ransomware nęka instytucje finansowe, które w ostatnich latach muszą stawiać czoła coraz bardziej złożonym zagrożeniom ze względu na zmieniające się zachowanie karteli cyberprzestępczych - wynika z najnowszego raportu firmy VMware „Modern Bank Heists”. Stało się to możliwe, ponieważ kartele cyberprzestępcze ewoluowały w kierunku strategii rynkowych, przejmowania rachunków maklerskich i wyspiarskich skoków do banków, wykraczając poza oszustwa związane z przelewami bankowymi.

Na potrzeby raportu firma VMware przeprowadziła ankiety wśród 130 dyrektorów ds. bezpieczeństwa w sektorze finansowym oraz liderów ds. bezpieczeństwa z różnych regionów, w tym z Ameryki Północnej, Europy, Azji i Pacyfiku, Ameryki Środkowej i Południowej oraz Afryki.

Zobacz również:

• Do 2030 r. 24 banki centralne będą posiadać waluty cyfrowe
• Apple ostrzega użytkowników w 92 krajach. Uwaga na ataki szpiegowskie
• Co trzecia firma w Polsce z cyberincydentem

Wyniki raportu były zgodne z obserwacjami innych ekspertów ds. bezpieczeństwa. „Secret Service, prowadząc dochodzenia mające na celu ochronę krajowych systemów płatności finansowych i infrastruktury finansowej, jest świadkiem rozwoju i wzrostu liczby złożonych oszustw z wykorzystaniem cyberprzestrzeni” - mówi Jeremy Sheridan, były asystent dyrektora w Secret Service. „Utrzymujące się, niewystarczające zabezpieczenia systemów podłączonych do Internetu stwarzają możliwości i metodologię”.

Najczęściej spotykane jest ransomware Conti

Oprogramowanie ransomware nadal nęka firmy - 74% ankietowanych liderów ds. bezpieczeństwa zgłosiło, że w ciągu ostatniego roku doświadczyło jednego lub więcej ataków, a 63% stwierdziło, że skończyło się to zapłaceniem okupu. Najbardziej rozpowszechnione okazało się oprogramowanie ransomware Conti.

Sześćdziesiąt trzy procent respondentów przyznało, że odnotowano wzrost liczby "ataków destrukcyjnych", w których cyberprzestępcy niszczą dane i dowody włamania. Stanowiło to wzrost o 17% w porównaniu z ubiegłym rokiem. Ataki te obejmują warianty złośliwego oprogramowania, które niszczą, zakłócają lub degradują systemy ofiar poprzez podejmowanie takich działań, jak szyfrowanie plików, usuwanie danych, niszczenie dysków twardych, przerywanie połączeń lub wykonywanie złośliwego kodu.

Chociaż 71% uczestników badania odnotowało wzrost liczby oszustw związanych z przelewami bankowymi w swoich organizacjach, wielu z nich stwierdziło, że cyberprzestępcy przeszli od działań związanych z przelewami bankowymi i dostępem do kapitału do ataków na niepubliczne informacje rynkowe. Dwie na trzy (66%) instytucje finansowe doświadczyły ataków ukierunkowanych na dane związane ze strategiami rynkowymi.

„Strategie rynkowe, które są najczęściej celem ataków, to długoterminowe pozycje w portfelu, poufne informacje o fuzjach i przejęciach oraz zgłoszenia IPO” - mówi Tom Kellermann, szef działu Cybersecurity Strategy w VMware. „Nowoczesne manipulacje rynkowe są zbieżne ze szpiegostwem gospodarczym i mogą być wykorzystywane do digitalizacji insider tradingu”.

Ponadto, liderzy ds. bezpieczeństwa w 63% ankietowanych instytucji finansowych stwierdzili, że doświadczyli wzrostu liczby przejęć kont maklerskich, w porównaniu z 41% w zeszłym roku. Atakujący coraz częściej wykorzystują skompromitowane dane uwierzytelniające do swobodnego poruszania się w sieci i uzyskiwania dostępu do rachunków maklerskich.

Respondenci badania powiedzieli również, że zaobserwowali ataki Chronos, termin zapożyczony od greckiego boga czasu, które polegają na manipulowaniu znacznikami czasu na transakcjach papierami wartościowymi. Sześćdziesiąt siedem procent instytucji finansowych zgłosiło ataki Chronos, a 44% z nich było ukierunkowanych na pozycje rynkowe.

„Chociaż promień szkód spowodowanych atakami Chronos nie jest duży, manipulowanie czasem podważa bezpieczeństwo, solidność, zaufanie i pewność sektora finansowego” - mówi Kellermann. „Instytucje finansowe muszą bacznie obserwować zegar i upewnić się, że zespoły ds. bezpieczeństwa są przygotowane do ochrony integralności czasu”. Skok na wyspę (island hop) stał się jednym z najgroźniejszych trendów w atakach i został odnotowany w 60% ankietowanych instytucji finansowych, co stanowi wzrost o 58% w porównaniu z ubiegłym rokiem. W ramach tego zjawiska cyberprzestępcy badają współzależności między instytucjami finansowymi i wiedzą, który dostawca usług zarządzanych (MSP) jest wykorzystywany. To z kolei pozwala im obrać za cel te organizacje, aby dostać się do banku metodą wspomnianego skoku na ywspę.

Z biegiem lat giełdy kryptowalut stały się coraz większym problemem, a około 83% respondentów wyraziło obawy dotyczące ich bezpieczeństwa.

W raporcie zalecono kilka głównych sposobów obrony przed tymi atakami dla dyrektorów ds. bezpieczeństwa i kierowników ds. bezpieczeństwa:

Integracja NDR z EDR: wykrywanie i reagowanie w sieci (NDR) musi być zintegrowane z reagowaniem na wykrywanie punktów końcowych (EDR) w celu ciągłego monitorowania systemów w czasie rzeczywistym, aby wykrywać i badać potencjalne zagrożenia.

• Zastosowanie mikrosegmentacji: ograniczenie ruchu bocznego poprzez egzekwowanie granic zaufania poprawi wykrywalność.
• Wdrażanie wabików: wykorzystywanie technologii zwodniczych w celu odwrócenia uwagi intruza.
• Wdrożenie DevSecOps i zabezpieczeń API: wprowadzenie zabezpieczeń na wczesnym etapie cyklu życia aplikacji.

Zautomatyzowanie zarządzania podatnościami: ustalenie priorytetów ryzyka, aby skupić się na podatnościach wysokiego ryzyka.

„Konieczne są inwestycje w zabezpieczenia interfejsów API i obciążenia roboczego, a także wzmożony dialog między działem nadzoru a działami bezpieczeństwa informacji, aby zapobiec cyfrowemu front-runningowi” - mówi Kellermann. „CISO musi również podlegać dyrektorowi generalnemu i regularnie przekazywać informacje zarządowi, aby zapewnić płynny przepływ dyskusji i przejrzystość”.

Źródło: CSO