IBMX-Force pubblica il rapporto “The Shifting Panorama of Global Financial Cybercrime”

Come cambia il panorama del cybercrime finanziario nel 2017. Lo hanno rilevato i ricercatori della IBMX-Force nel rapporto “The Shifting Panorama of Global Financial Cybercrime”. Il documento analizza i dati provenienti da quasi 300 milioni di endpoint in tutto il mondo e gli attacchi informatici condotti a entità in Australia, Brasile, Germania, Canada, Giappone, UK, Stati Uniti, Nuova Zelanda, Emirati Arabi Uniti (UAE) e Asia. A proposito gli specialisti di cyber security hanno scoperto che i criminali informatici stanno espandendo le loro attività in nuove regioni. Ciò, costituendo network e partnership con fazioni locali. Di fatto si creano reti internazionali, basate su alleanze temporanee o durature.

Il cybercrime finanziario globale si allea con i gruppi locali per ottenere più risultati

Queste nuove alleanze garantiscono al cybercrime finanziario una serie di vantaggi: innanzitutto di poter avere accesso a nuove liste di email da poter colpire. Inoltre, una migliore conoscenza dei requisiti per le credenziali delle banche locali e come far funzionare al meglio le operazioni di riciclaggio del denaro a livello regionale. “Il livello di cooperazione tra gruppi del crimine organizzato segna un cambio di strategia”, ha spiegato Limor Kessem, Executive Security Advisor di IBM Security. Il cambio di passo deriva dal fatto che nel 2016 i cybercrime finanziari sono stati estremamente fruttuosi, a fronte delle risorse impiegate per commetterli. Tanto che le imprese del settore sono state quelle più attaccate.

Il Giappone è il nuovo bersaglio del cybercrime finanziario

A livello geografico, il cybercrime finanziario nel 2016 ha colpito più le imprese negli Stati Uniti e nel Regno Unito. Da qui, però, ha esteso le sue attività verso altri mercati. Il Giappone per esempio, che finora era rimasto immune ai cyber attacchi. Ciò a seguito della scarsità di strumenti locali e della lingua complessa. Invece, da qualche tempo sono arrivate nuove famiglie di malware che stanno lanciando offensive proprio contro la nazione asiatica: Da Gozi a URLZone, da Rovnix a Shifu. Tutte gestite da bande di criminali informatici provenienti dall’Europa orientale. Dopo, però, aver ottenuto il supporto dalle bande criminali locali.

Il fenomeno Brasile e il trojan Zeus

Anche il Brasile ha visto un aumento di attacchi informatici nel 2016. In particolare al settore finanziario. Ciò è derivato, con buona probabilità dal fatto che il paese latino americano l’anno scorso ha ospitato i Giochi Olimpici. Di conseguenza, c’erano flussi anomali di denaro e transazioni finanziarie, che hanno fato gola al cybercrime. Si tratta per lo più di network locali, che hanno il sostegno di gruppi internazionali. Con questi, infatti, commerciano tools e pianificano le strategie d’azione). La maggior parte dei cyber attacchi è stata lanciata con lo Zeus Trojan, il cui codice sorgente è nato sulla base di altri 3 malware: Zeus Panda, FlokiBot e Zeus Sphinx,. Questi erano stati usati in passato per colpire le banche e le piattaforme di pagamenti brasiliane.

Cresce l’interesse del cybercrime verso il Canada

Il Canada, a differenza degli Stati Uniti, finora non era stato considerato un bersaglio top dal cybercrime finanziario. Nel 2016, però, le cose sono cambiate. Tanto che è cominciata un’ondata di attacchi, lanciata con 5 tipi di malware diversi: Gozi v2, Ramnit, Qadars, TrickBot e Zeus Sphinx. Il paese, a seguito di ciò, è diventato il terzo a livello mondiale per i più colpiti da trojan in ambito bancario, dopo UK e Usa. In quarta posizione si collocano le banche dell’Australia e della Nuova Zelanda. Anche se c’è meno interesse verso quest’ultimo paese. Comunque i malware protagonisti degli attacchi sono 4 e valgono per entrambe le nazioni: Ramnit, Goz, Dridex e TrickBot.

Contro le banche della Germania operano 2 gruppi del cybercrime

La Germania, invece, ha visto nel 2016 emergere due gruppi di criminali informatici sofisticati. Entrambi hanno usato codici malware nuovi e hanno cominciato a colpire il paese poco dopo essere apparsi nell’arena globale del cybercrime. I primi hanno usato GozNym, che ha colpito le banche tedesche da agosto dell’anno scorso. I cyber attacchi sono stati lanciati contro 13 sedi centrali e rediretti contro le sussidiarie locali. Peraltro, usando la lingua madre e non l’inglese. I secondi hanno preferito adottare TrickBot.

I bersagli top del cybercrime finanziario: UK e Usa

Le istituzioni bancarie e finanziarie della Gran Bretagna e degli Usa, infine, continuano a essere i bersagli preferiti dal cybercrime. Soprattutto il primo paese, che ha fronteggiato attacchi informatici con almeno 12 famiglie di malware. Neverquest (48%), Kronos 1(6%), Gootkit e Tinba (8% ognuno), Gozi (5%), Dridex (4%), Zeus e Ramnit (3%), URLZone e Shifu (2%), GozNym 1% e altri per un ulteriore 2%. Per gli Stati Uniti, invece, la lista è diversa: Gozi (21), GozNym (20), Neverquest (17), varietà dello Zeus (9), Dridex (9), Tinba (8), Gootkit (7), Kronos (6), Ramnit (2), URLZone (1) e Trickbot (meno dell’1%).

Il rapporto integrale “The Shifting Panorama of Global Financial Cybercrime” di IBMX-Force (file PDF)