Desmascarando as APTs Mais Perigosas que Alvejam o Setor Financeiro

Fortalecendo Sua Defesa com a Plataforma SOC Prime

As organizações financeiras sempre foram um alvo interessante para adversários apoiados por nações, pois estão constantemente buscando fluxos adicionais de lucro. Ameaças Persistentes Avançadas (APT) que visam o setor financeiro podem ter consequências devastadoras, pois seu objetivo é comprometer instituições financeiras, roubar dados sensíveis e interromper sistemas financeiros. As APTs realizam campanhas sustentadas e metódicas que podem durar meses ou até anos. Elas empregam táticas avançadas para evitar a detecção, utilizando técnicas como explorações de dia zero, e criptografia para encobrir suas atividades.

É importante notar que o cenário de ameaças está em constante evolução, e novos grupos APT podem surgir enquanto os existentes adaptam suas táticas. As instituições financeiras precisam manter medidas robustas de cibersegurança, incluindo detecção de ameaças, treinamento de funcionários e planos de resposta a incidentes, para se defenderem efetivamente contra essas APTs. Além disso, compartilhar inteligência sobre ameaças dentro do setor financeiro e com agências de aplicação da lei pode ajudar na detecção precoce e mitigação de ataques APT.

Apoiados por expertise coletiva em cibersegurança, a Plataforma SOC Prime oferece ferramentas avançadas de detecção e caça de ameaças, ajudando a defender proativamente contra ataques APT contra instituições financeiras.

Comece Com a SOC PrimeFale Com Especialistas

As APTs neste setor são tipicamente sofisticadas e bem financiadas, tornando-as particularmente perigosas. Esses grupos de espionagem cibernética incluem estados-nação, grupos apoiados por estados e organizações cibercriminosas avançadas. Vamos nos aprofundar em algumas das APTs mais perigosas que visam a indústria financeira e explorar a lista de conteúdos de detecção relevantes que abordam as técnicas adversárias usadas pelos respectivos atores de ameaça.

FIN7 (Grupo Carbanak)

FIN7, também conhecido como Carbanak, entre outros nomes, é descrito como um dos grupos de hackers criminais mais bem-sucedidos do mundo. Diz-se que o grupo de hackers roubou mais de 900 milhões de dólares de bancos, assim como de mais de mil clientes privados.

O FIN7 tipicamente iniciava seus ataques cibernéticos entregando um e-mail de “phishing” a um funcionário da empresa. Cada e-mail incluía um arquivo anexado, frequentemente um documento do Microsoft Word que aparentava ser inofensivo, com malware embutido. O texto dentro do e-mail simulava uma mensagem legítima relacionada a negócios para levar o funcionário destinatário a abrir o anexo e ativar o malware que infectaria o computador.

Os criminosos conseguiram manipular seu acesso às respectivas redes bancárias para roubar dinheiro de várias maneiras. Em alguns casos, os caixas eletrônicos foram instruídos a dispensar dinheiro sem a necessidade de interação local com o terminal. Mulas de dinheiro coletavam o dinheiro e o transferiam pela rede SWIFT para as contas dos criminosos.

Detectar TTPs do FIN7 também conhecido como Carbanak Group

APT19 também conhecido como Deep Panda

APT19, também conhecido como Deep Panda, é um grupo de ameaça patrocinado pelo estado, acreditado ser baseado na China. Este grupo de hackers tem estado ativo desde pelo menos 2011 e é infame por seus ataques direcionados a vários setores, com forte foco na indústria financeira. Em 2017, uma campanha de phishing foi usada para direcionar sete firmas de advocacia e investimento. Essa campanha foi associada à APT19, que usou três técnicas diferentes para tentar comprometer os alvos:

1. No início de maio, as iscas de phishing alavancaram anexos RTF que exploravam a vulnerabilidade do Microsoft Windows descrita como CVE-2017-0199.
2. Toward the end of May, this hacking group switched to using macro-enabled Microsoft Excel (XLSM) documents.
3. Nas versões mais recentes, a APT19 adicionou um desvio de lista de permissões de aplicativos aos documentos XLSM. Pelo menos uma isca de phishing observada entregou uma carga útil de Cobalt Strike.

Os principais objetivos da Deep Panda incluem roubo de dados e obtenção de vantagem competitiva através de espionagem econômica.

Detectar TTPs da APT19 também conhecido como Deep Panda

Grupo Lazarus

O Grupo Lazarus é uma equipe de hackers acreditada estar ligada à Coreia do Norte, atribuída ao Bureau Geral de Reconhecimento. Aqui está como eles têm agido contra os bancos. O malware usado pelo Grupo Lazarus se correlaciona com outras campanhas relatadas, incluindo a Operação Chama, Operação 1Missão, Operação Tróia, DarkSeoul e Dez Dias de Chuva.

O Grupo Lazarus é considerado perigoso para a indústria bancária por várias razões:

• Eles empregam métodos e ferramentas sofisticadas para infiltrar sistemas bancários, frequentemente permanecendo despercebidos por longos períodos.
• Diferentemente de outros grupos de ciberespionagem que podem estar mais focados em reunir inteligência, o Grupo Lazarus tem uma forte motivação financeira. Eles foram vinculados a vários assaltos a bancos de alto perfil, tentando transferir grandes somas de dinheiro, demonstrando seu alcance global e compreensão de diferentes sistemas bancários.
• Uma vez que infiltram um sistema, frequentemente permanecem dentro por muito tempo, estudando o ambiente, entendendo os fluxos de trabalho e planejando seu assalto meticulosamente.
• Suas operações resultaram no roubo de centenas de milhões de dólares de bancos. Tais perdas podem ser devastadoras, especialmente para instituições financeiras menores.

Detectar TTPs pelo Grupo Lazarus

Grupo Cobalt

Entre as muitas ameaças enfrentadas por organizações financeiras, um grupo se destaca por sua sofisticação e persistência: a Ameaça Persistente Avançada (APT) Cobalt. Este grupo bem organizado e persistente tem estado ativo por mais de uma década, evoluindo continuamente suas táticas, técnicas e procedimentos (TTPs).

APT Cobalt tem como alvo principal instituições financeiras, representando um risco significativo para bancos, companhias de seguros e firmas de investimento em todo o mundo. O grupo conduziu intrusões para roubar dinheiro, visando sistemas de caixas eletrônicos, processamento de cartões, sistemas de pagamento e sistemas SWIFT.
O Grupo Cobalt tem como alvo principalmente bancos na Europa Oriental, Ásia Central e Sudeste Asiático. Um dos líderes supostos foi preso na Espanha no início de 2018, mas o grupo ainda parece estar ativo. O Cobalt é conhecido por mirar em organizações para então usar seu acesso para comprometer vítimas adicionais.

O que torna o APT Cobalt tão perigoso é sua capacidade de executar ataques altamente coordenados e de várias etapas. Eles empregam uma variedade de vetores de ataque, incluindo campanhas de spear-phishing, explorações de dia zero e documentos carregados de malware. Uma vez dentro de uma organização alvo, realizam um extenso reconhecimento, movem-se lateralmente e escalam privilégios para obter acesso a dados e sistemas financeiros valiosos.

Detectar TTPs pelo Grupo Cobalt

Cozy Bear

Cozy Bear, também conhecido como APT29, é um grupo de ciberespionagem acreditado estar associado a uma ou mais agências de inteligência da Rússia. O Cozy Bear pode ser reconhecido por suas operações sorrateiras, focando na infiltração de sistemas e roubo de informações sensíveis ao invés de causar danos imediatos.

Cozy Bear é perigoso para a indústria bancária porque eles têm recursos e motivações significativos que podem diferir de outros grupos cibercriminosos. Embora seu foco principal possa ser a espionagem, as ferramentas e acesso que eles ganham podem ser usados para roubo financeiro ou para interromper operações bancárias. Como não limitam suas operações a regiões ou setores específicos, sua capacidade de atingir entidades em todo o mundo significa que os bancos em qualquer lugar precisam estar vigilantes. As operações do APT29 são frequentemente complexas, tornando desafiador atribuir ataques de forma definitiva a eles.

Diante desses fatores, o Cozy Bear representa uma ameaça significativa para a indústria bancária. Sua combinação de suporte estatal e adaptabilidade os torna um adversário formidável no reino cibernético. Bancos e instituições financeiras precisam estar cientes dos riscos potenciais apresentados por grupos como Cozy Bear e tomar as medidas apropriadas de cibersegurança.

Detectar TTPs pelo APT29 também conhecido como Cozy Bear

Fancy Bear

APT28 (também conhecido como Fancy Bear) é um grupo de hackers apoiado pela Rússia com uma longa história de lançar ciberataques sofisticados e altamente eficazes contra organizações financeiras. O Fancy Bear não se limita a uma região ou setor, eles têm como alvo organizações baseadas na Europa, instituições governamentais dos EUA e um alarmante número de entidades ucranianas.

Este grupo de ciberespionagem foi vinculado a vários ciberataques de alto perfil, incluindo o suposto hack das eleições presidenciais dos EUA de 2016 e o ataque de malware NotPetya em 2017 e hack do Comitê Nacional Democrata (DNC) nos Estados Unidos em 2016.

O APT28 cria e-mails de phishing altamente convincentes para enganar funcionários a clicarem em links maliciosos ou baixar anexos carregados de malware. Uma vez dentro da rede, eles podem se mover lateralmente e escalar privilégios.

O grupo também é conhecido por explorar vulnerabilidades de software que ainda não são conhecidas pelo público ou pelo fornecedor de software. Isso permite ao APT28 obter acesso não autorizado a sistemas alvo. Seu objetivo é roubar dados financeiros sensíveis, incluindo informações de clientes, registros de transações e propriedade intelectual. Sendo persistentes e pacientes, eles podem permanecer ocultos em uma rede comprometida por longos períodos, continuamente exfiltrando dados e expandindo seu acesso.

Detectar TTPs pelo APT28 também conhecido como Fancy Bear

Para ter toda a coleção de regras Sigma para detectar atividades maliciosas associadas a atores APT proeminentes que visam a indústria financeira, clique no Explore Detecções botão abaixo. O pacote de conteúdo de detecção inclui mais de 1.600+ regras Sigma compatíveis com 28 tecnologias SIEM, EDR, XDR e Data Lake.

Explore Detecções

Dado que novas técnicas maliciosas surgem diariamente exigindo que sejam abordadas com itens de conteúdo de detecção curados, o extenso número de regras pode ser desafiador para processar manualmente. Para simplificar os procedimentos de caça a ameaças, rastrear possíveis ataques em tempo real e identificar lacunas na defesa cibernética das organizações adaptadas ao seu setor e perfil de ameaça, os profissionais de segurança podem optar por usar o Attack Detective da SOC Prime. Experimente Detective de Ataques agora para proteger dinamicamente a superfície de ataque em expansão, identificar pontualmente pontos cegos na cobertura de suas fontes de log, e abordá-los inteligentemente para garantir proteção abrangente de seus ativos críticos de dados e ganhar confiança em sua postura de cibersegurança.

Além disso, as soluções de cibersegurança oferecidas pela Plataforma SOC Prime podem desempenhar um papel vital na proteção do setor financeiro em 2023. Comece com o Mercado de Detecção de Ameaças para acessar o maior feed de regras de detecção do mundo sobre as últimas TTPs usadas por adversários, incluindo APTs que representam o desafio mais assustador para o setor financeiro, para eliminar o custo financeiro de violações de dados. Confie no Uncoder AI para elevar suas capacidades de defesa cibernética em escala enquanto evita o bloqueio de fornecedores com codificação de regras Sigma simplificada e tradução de consultas bidirecional para 64 formatos de linguagem de consulta de SIEM, EDR, XDR e Data Lake.