Smascherare gli APT piĆ¹ pericolosi che prendono di mira il settore finanziario
Fortificare la Tua Difesa con la Piattaforma SOC Prime
Le organizzazioni finanziarie sono sempre state un obiettivo appetibile per gli avversari supportati dai governi poichĆ© cercano costantemente ulteriori fonti di profitto. Le Minacce Avanzate Persistenti (APT) che prendono di mira il settore finanziario possono avere conseguenze devastanti, poichĆ© mirano a compromettere le istituzioni finanziarie, rubare dati sensibili e interrompere i sistemi finanziari. Le APT conducono campagne sostenute e metodiche che possono durare mesi o addirittura anni. Utilizzano tattiche avanzate per evitare il rilevamento, impiegando tecniche come exploit zero-day e crittografia per mascherare le loro attivitĆ .
Ć importante notare che il panorama delle minacce ĆØ in continua evoluzione, e nuovi gruppi di APT potrebbero emergere, mentre quelli esistenti adattano le loro tattiche. Le istituzioni finanziarie devono mantenere robuste misure di sicurezza informatica, tra cui il rilevamento delle minacce, la formazione dei dipendenti e piani di risposta agli incidenti, per difendersi efficacemente da queste APT. Inoltre, condividere l’intelligence sulle minacce all’interno del settore finanziario e con le forze dell’ordine puĆ² aiutare nella rilevazione e mitigazione precoce degli attacchi APT.
Supportata dall’esperienza collettiva nella sicurezza informatica, la Piattaforma SOC Prime offre strumenti avanzati di rilevamento delle minacce e di hunting, aiutando a difendersi proattivamente dagli attacchi APT contro le istituzioni finanziarie.
Inizia con SOC PrimeParla con gli Esperti
Le APT in questo settore sono tipicamente sofisticate e ben finanziate, rendendole particolarmente pericolose. Questi gruppi di spionaggio informatico includono stati nazionali, gruppi sponsorizzati dallo stato e organizzazioni di cybercriminalitĆ avanzata. Esploriamo piĆ¹ a fondo alcune delle APT piĆ¹ pericolose che prendono di mira l’industria finanziaria ed esaminiamo l’elenco dei contenuti di rilevamento pertinenti che affrontano le tecniche avversarie utilizzate dagli attori delle minacce corrispondenti.
FIN7 (Gruppo Carbanak)
FIN7, noto anche come Carbanak, tra altri nomi, ĆØ descritto come uno dei gruppi di hacker criminali di maggior successo nel mondo. Si dice che il gruppo di hacker abbia rubato oltre 900 milioni di dollari dalle banche e da oltre un migliaio di clienti privati.
FIN7 tipicamente iniziava i suoi attacchi informatici inviando un’email di “phishing” a un dipendente dell’azienda. Ogni email includeva un file allegato, spesso un documento Microsoft Word apparentemente innocuo, con malware incorporato. Il testo all’interno dell’email simulava un messaggio legittimo relativo al business per indurre il dipendente destinatario ad aprire l’allegato e ad attivare il malware che infetterebbe il computer.
I criminali erano in grado di manipolare il loro accesso alle rispettive reti bancarie per rubare denaro in vari modi. In alcuni casi, gli ATM venivano istruiti a erogare denaro senza dover interagire localmente con il terminale. I “money mule” raccoglievano il denaro e lo trasferivano attraverso la rete SWIFT ai conti dei criminali.
Rileva TTP da FIN7 aka Carbanak Group
APT19 aka Deep Panda
APT19, noto anche come Deep Panda, ĆØ un gruppo di minacce sponsorizzato dallo stato che si ritiene abbia sede in Cina. Questo gruppo di hacker ĆØ attivo almeno dal 2011 ed ĆØ famoso per i suoi attacchi mirati a vari settori, con un forte focus sull’industria finanziaria. Nel 2017, una campagna di phishing ĆØ stata usata per prendere di mira sette studi legali e di investimento. Questa campagna ĆØ stata associata ad APT19, che ha utilizzato tre diverse tecniche per tentare di compromettere gli obiettivi:
- All’inizio di maggio, le esche di phishing sfruttavano allegati RTF che sfruttavano la vulnerabilitĆ di Microsoft Windows descritta come CVE-2017-0199.
- Verso la fine di maggio, questo gruppo di hacker ĆØ passato all’uso di documenti Microsoft Excel (XLSM) con macro abilitate.
- Nelle versioni piĆ¹ recenti, APT19 ha aggiunto un bypass della whitelisting delle applicazioni ai documenti XLSM. Almeno un’esca di phishing osservata ha consegnato un payload Cobalt Strike.
Gli obiettivi principali di Deep Panda includono il furto di dati e il guadagno di un vantaggio competitivo attraverso lo spionaggio economico.
Rileva TTP da APT19 aka Deep Panda
Gruppo Lazarus
Il Gruppo Lazarus ĆØ un team di hacker che si ritiene sia collegato alla Corea del Nord ed ĆØ stato attribuito all’Ufficio Generale di Ricognizione. Ecco come hanno lavorato contro le banche. Il malware usato dal Gruppo Lazarus ĆØ correlato ad altre campagne segnalate, tra cui Operation Flame, Operation 1Mission, Operation Troy, DarkSeoul, e Ten Days of Rain.
Il Gruppo Lazarus ĆØ considerato pericoloso per l’industria bancaria per diverse ragioni:
- Impiegano metodi e strumenti sofisticati per infiltrarsi nei sistemi bancari, rimanendo spesso inosservati per lunghi periodi.
- A differenza di altri gruppi di spionaggio informatico che potrebbero essere piĆ¹ concentrati sulla raccolta di intelligence, il Gruppo Lazarus ha una forte motivazione finanziaria. Sono stati collegati a diversi colpi in banca di alto profilo, tentando di trasferire grandi somme di denaro, dimostrando la loro portata globale e la comprensione dei diversi sistemi bancari.
- Una volta infiltrati in un sistema, spesso rimangono al suo interno per un lungo periodo, studiando l’ambiente, comprendendo i flussi di lavoro e pianificando meticolosamente il loro colpo.
- Le loro operazioni hanno portato al furto di centinaia di milioni di dollari dalle banche. Tali perdite possono essere devastanti, specialmente per le istituzioni finanziare piĆ¹ piccole.
Cobalt Group
Tra le molte minacce affrontate dalle organizzazioni finanziarie, un gruppo si distingue per la sua sofisticazione e persistenza: la Minaccia Avanzata Persistente (APT) Cobalt. Questo gruppo ben organizzato e persistente ĆØ attivo da oltre un decennio, evolvendo continuamente le sue tattiche, tecniche e procedure (TTP).
Cobalt APT prende di mira principalmente le istituzioni finanziarie, rappresentando un rischio significativo per banche, compagnie assicurative e societĆ di investimento in tutto il mondo. Il gruppo ha condotto intrusioni per rubare denaro prendendo di mira sistemi ATM, sistemi di elaborazione delle carte, sistemi di pagamento e sistemi SWIFT.
Cobalt Group ha principalmente preso di mira banche in Europa orientale, Asia centrale e Sud-est asiatico. Uno dei presunti leader ĆØ stato arrestato in Spagna all’inizio del 2018, ma il gruppo appare ancora attivo. Cobalt ĆØ noto per compromettere le organizzazioni al fine di utilizzare il loro accesso per compromettere ulteriori vittime.
CiĆ² che rende Cobalt APT cosƬ pericoloso ĆØ la sua capacitĆ di eseguire attacchi altamente coordinati e multi-stadio. Utilizzano una varietĆ di vettori di attacco, tra cui campagne di spear-phishing, exploit zero-day e documenti infetti da malware. Una volta all’interno di un’organizzazione mirata, conducono una ricognizione approfondita, si spostano lateralmente e scalano i privilegi per ottenere accesso a dati e sistemi finanziari preziosi.
Cozy Bear
Cozy Bear, noto anche come APT29, ĆØ un gruppo di cyber-spionaggio che si ritiene associato a una o piĆ¹ agenzie di intelligence della Russia. Cozy Bear ĆØ riconoscibile per le sue operazioni furtive, focalizzate piĆ¹ sull’infiltrazione nei sistemi e il furto di informazioni sensibili piuttosto che sul causare danni immediati.
Cozy Bear ĆØ pericoloso per l’industria bancaria perchĆ© ha risorse significative e motivazioni che potrebbero differire da altri gruppi di cybercriminalitĆ . Sebbene il loro focus principale possa essere lo spionaggio, gli strumenti e l’accesso che ottengono possono essere utilizzati per il furto finanziario o per interrompere le operazioni bancarie. PoichĆ© non limitano le loro operazioni a regioni o settori specifici, la loro capacitĆ di prendere di mira entitĆ in tutto il mondo significa che le banche ovunque devono essere vigili. Le operazioni di APT29 sono spesso complesse, rendendo difficile attribuire definitivamente gli attacchi a loro.
Date queste considerazioni, Cozy Bear rappresenta una significativa minaccia per l’industria bancaria. La loro combinazione di supporto statale e adattabilitĆ li rende un formidabile avversario nel campo cibernetico. Le banche e le istituzioni finanziarie devono essere consapevoli dei potenziali rischi posti da gruppi come Cozy Bear e prendere appropriate misure di sicurezza informatica.
Rileva TTP da APT29 aka Cozy Bear
Fancy Bear
APT28 (noto anche come Fancy Bear) ĆØ un gruppo di hacking supportato dalla Russia con una lunga storia di attacchi informatici sofisticati ed efficaci contro organizzazioni finanziarie. Fancy Bear non ĆØ limitato a una regione o settore, ha preso di mira organizzazioni con sede in Europa, istituzioni governative degli Stati Uniti e un numero allarmante di entitĆ ucraine.
Questo gruppo di cyber-spionaggio ĆØ stato collegato a diversi attacchi informatici di alto profilo, incluso il presunto hack delle elezioni presidenziali statunitensi del 2016 e l’attacco malware NotPetya del 2017 e l’hack del Comitato Nazionale Democratico (DNC) negli Stati Uniti nel 2016.
APT28 crea email di phishing altamente convincenti per ingannare i dipendenti nel cliccare su link dannosi o scaricare allegati infetti da malware. Una volta all’interno della rete, possono muoversi lateralmente e scalare i privilegi.
Il gruppo ĆØ anche noto per sfruttare vulnerabilitĆ software che non sono ancora conosciute dal pubblico o dal fornitore del software. Questo permette ad APT28 di ottenere accesso non autorizzato ai sistemi mirati. Il loro obiettivo ĆØ rubare dati finanziari sensibili, inclusi informazioni sui clienti, registrazioni delle transazioni e proprietĆ intellettuale. Essendo persistenti e pazienti, possono rimanere nascosti in una rete compromessa per lunghi periodi, esfiltrando continuamente dati ed espandendo il loro accesso.
Rileva TTP da APT28 aka Fancy Bear
Per avere l’intera raccolta di regole Sigma per rilevare attivitĆ malevole associate a attori APT importanti che prendono di mira l’industria finanziaria, premi il Esplora le Rilevazioni pulsante qui sotto. Il pacchetto di contenuti di rilevamento include oltre 1600+ regole Sigma compatibili con 28 tecnologie SIEM, EDR, XDR e Data Lake.
In vista del fatto che nuove tecniche malevole emergono quotidianamente e richiedono di essere affrontate con elementi di contenuto di rilevamento curati, l’esteso numero di regole puĆ² essere difficile da elaborare manualmente. Per ottimizzare le procedure di hunting delle minacce, monitorare i possibili attacchi in tempo reale e identificare i gap di difesa informatica delle organizzazioni su misura per il loro settore e profilo di minaccia, i professionisti della sicurezza potrebbero optare per l’utilizzo di SOC Primeās Attack Detective. Prova Attack Detective ora per rendere sicura in modo dinamico la superficie di attacco sempre in espansione, identificare tempestivamente i punti ciechi nella tua copertura delle fonti di log e affrontarli in modo intelligente per garantire una protezione completa dei tuoi asset dati critici e acquisire fiducia nella tua postura di sicurezza informatica.
Inoltre, le soluzioni di sicurezza informatica offerte da SOC Prime Platform possono svolgere un ruolo fondamentale nella salvaguardia del settore finanziario nel 2023. Inizia con Threat Detection Marketplace per accedere al piĆ¹ grande feed di regole di rilevamento al mondo sugli ultimi TTP utilizzati dagli avversari, comprese le APT che pongono la sfida piĆ¹ imponente al settore finanziario, per eliminare l’impatto finanziario delle violazioni dei dati. Affidati a Uncoder AI per elevare le tue capacitĆ di difesa informatica su larga scala evitando il lock-in del fornitore con codifica di regole Sigma ottimizzata e traduzione bidirezionale delle query in 64 formati di linguaggio per SIEM, EDR, XDR e Data Lake.
_linkedin_partner_id = ā6023705″; window._linkedin_data_partner_ids = window._linkedin_data_partner_ids || []; window._linkedin_data_partner_ids.push(_linkedin_partner_id); (function(l) { if (!l){window.lintrk = function(a,b){window.lintrk.q.push([a,b])}; window.lintrk.q=[]} var s = document.getElementsByTagName(āscriptā)[0]; var b = document.createElement(āscriptā); b.type = ātext/javascriptā;b.async = true; b.src = āhttps://snap.licdn.com/li.lms-analytics/insight.min.jsā; s.parentNode.insertBefore(b, s);})(window.lintrk);