Lo scorso anno è stato un periodo di cambiamenti per il mondo delle minacce finanziarie durante il quale abbiamo osservato mutamenti sia nelle tattiche utilizzate che nei target colpiti dagli attaccanti. In generale le minacce in questo contesto sono molteplici, si presentano in varie forme, e possono essere suddivise in due gruppi: le minacce che mirano agli utenti e quelle che colpiscono gli istituti stessi.
Minacce Utenti
Phishing
Nella prima categoria troviamo attacchi ben noti e relativi ad azioni quali il phishing. Questa è una delle attività criminali più comuni in quanto non richiede elevate competenze tecniche e rimane sempre proficua. Per queste ragioni, il financial phishing continua ad essere una minaccia in costante crescita, che negli ultimi tre anni ha fatto registrare una variazione che va dal 34.33% del 2015 al 53.82% del 2017.
Di particolare interesse l’aumento di attenzione dei “phisher” verso le cryptocurrency. Quest’ultime sono sempre più presenti nelle nostre vite e gli attaccanti colgono l’occasione per realizzare attacchi di phishing che mirano alla sottrazione dei “wallet” digitali o al dirottamento di transazione attraverso la modifica dell’indirizzo del destinatario.
Banking malware
I malware, ed in particolare i trojan, specializzati nel furto di dati finanziari, sono sempre stati una delle minacce principali, ma nel corso degli ultimi anni hanno subito una decrescita. Nel corso del 2017 abbiamo osservato una riduzione di circa il 30% delle “detection”, circa 300 mila utenti attaccati in meno. Questo fenomeno è dovuto al fatto che gli strumenti storicamente utilizzati per queste attività, quali ZeuS e SpyEye, iniziano ad essere obsoleti, ed inoltre gli attaccanti, sempre più frequentemente, rivolgono la propria verso il furto di cryptocurrency o attività di mining, considerate più profittevoli.
Minacce Istituti finanziari
Se alcune tipologie di attacchi verso gli utenti mostrano segni di decrescita, dall’altra parte, gli attacchi contro gli istituti finanziari sembrano essere in costante crescita. Le azioni contro strutture quali le banche sono svariate e mirano principalmente alla sottrazione di denaro, ma anche al furto di dati sensibili, che, spesso, possono essere rivenduti per cifre considerevoli.
ATM jackpotting
Uno dei target più comuni sono i soldi contenuti all’interno degli ATM e gli attaccanti cercano sempre nuovi modi per ottenerli. Per questo motivo quella parte di mercato criminale che si occupa di vendere software e servizi cerca di sfruttare l’interesse di malintenzionati, vendendo malware creati appositamente per fare jackpotting, ovvero svuotare i contanti presenti nelle cassette degli ATM. Un esempio è “Cutlet Maker”, un malware comparso nel 2017 e venduto in alcuni market della Darknet per circa 5000 dollari.
Lo strumento consentiva di svuotare un ATM attraverso una comoda interfaccia grafica e veniva venduto insieme ad una guida che aiutava l’utente step-by-step.
APT (Advanced Persistent Threats)
Gli attaccanti non mirano però solo al singolo ATM, alcuni hanno migliorato le proprie capacità tecniche e sono in grado di lanciare attacchi direttamente alle infrastrutture informatiche interne alle aziende.
Le statistiche del 2017 mostrano che negli attacchi verso gli istituti finanziari solo il 27% delle azioni mirano agli ATM mentre nel 65% dei casi gli obiettivi sono gli endpoint ed i server dell’infrastruttura.
I criminali utilizzano le APT per inserirsi all’interno delle reti bancarie, prenderne il controllo e rubare denaro attraverso transazioni SWIFT non autorizzate, modifica dei database contenenti il saldo contabile degli utenti, oppure compromissione degli ATM con malware in grado di fare jackpotting. In passato abbiamo osservato operazioni APT come Carbanak, Metel, GCMAN. Abbiamo osservato gruppi come Lazarus, che già utilizzavano questo tipo di attacchi per attività di spionaggio o sabotaggio, iniziare ad utilizzare le proprie capacità per raccogliere capitali colpendo varie banche in tutto il mondo.
Il 2017 ha confermato la presenza di questo tipo di attacchi, durante il quale abbiamo osservato ulteriori campagne contro varie organizzazioni finanziarie e realizzate da nuovi gruppi quali, ad esempio, Silence.
I sistemi utilizzati dagli attaccanti per infiltrarsi all’interno dei sistemi sono molteplici. Nel 23% dei casi utilizzano le classiche mail di spear-phishing con allegato malevolo. Nel 15% dei casi utilizzano tecniche di social engineering per acquisire informazioni quali le credenziali di accesso o portare un dipendente ad effettuare delle azioni dannose. Nell’8% dei casi utilizzano attacchi di tipo watering hole, oppure sempre nell’8% dei casi gli attaccanti utilizzano attacchi di tipo supply chain.
Cosa fare?
Le minacce finanziarie si presentano in svariate forme che mutano costantemente e per fronteggiarle correttamente bisogna strutturare una difesa multilivello composta da soluzioni per la prevenzione delle frodi, sistemi di difesa evoluti per gli endpoint, prodotti specifici per la protezione da attacchi mirati e di tipo APT e soprattutto attività di “threat intelligence”.
Particolare attenzione va data a quest’ultimo aspetto in quanto solo l’acquisizione di informazioni di qualità relative alle attività di attacco ed ai trend delle minacce ci può consentire di rispondere in maniera efficace alle evoluzioni degli attacchi.