Alcuni hacker e gruppi del cybercrime agiscono per profitto

Quali sono le minacce informatiche alle istituzioni finanziarie? Lo spiega una ricerca di Digital Shadows, partendo dal concetto che queste sono un bersaglio allettante per tutti i tipi di attori malevoli. Questi si dividono in 3 categorie: quelli che agiscono per profitto, quelli motivati da ideologie e coloro che operano in base a interessi nazionali. Ciò anche a seguito del fatto che le istituzioni-bersaglio sono parte delle infrastrutture critiche nazionali e spesso hanno una presenza globale. Per quanto riguarda gli attacchi della prima tipologia, è stato rilevato che gli impatti maggiori sono stati causati da gruppi criminali organizzati. Questi hanno usato varianti di malware per compiere intrusioni mirate. I cyberattacks più frequenti sono stati legati a estorsioni, trojan bancari e compromissione di email aziendali.

Ransomware, compromissione dei dati e attacchi DDoS. Chi li usa

Sul versante dei tentativi di estorsioni agli istituti finanziari, Digital Shadows ha notato che nel 2016 hanno colpito diversi settori. Per compierli sono stati usati ransomware, compromissione dei dati e attacchi DDoS. Su questo ultimo fronte i gruppi più attivi sono stati DD4BCm il Collettivo ARMADA, Kadyrovtsky, vimproducts e diversi imitatori. L’ultima evoluzione in questo ambito sono le aggressioni duplici. Non si colpisce solo l’organizzazione finanziaria, ma anche i suoi clienti. A loro si propone, in cambio di un pagamento, la rimozione dagli elenchi rubati. Soprattutto se questi hanno qualcosa da perdere in caso le informazioni vengano diffuse.

I ransomware continuano ad andare di moda

La maggior parte delle estorsioni informatiche nel 2016, comunque, è stata derivata dai ransomware. Nell’anno se ne sono viste numerose varianti, che hanno colpito diverse istituzioni finanziarie. I più diffusi sono stati SamSam (SamSa), Cryptowall, Locky, Cerber e CryptXXX. Per inviarli alle vittime vengono usati diversi metodi: da campagne di email spam a exploit kit. Anche nel 2017, questa arma continuerà a essere largamente utilizzata. Soprattutto, ci saranno nuove varianti, basate sui malware che hanno avuto più successo. A ciò si aggiunge che la loro ulteriore proliferazione sarà incentivata da un uso in crescita dei Ransomware-as-a-service (RAAS): servizi che permettono anche agli utenti meno esperti di affittare e adoperare un malware.

Le intrusioni mirate pe rubare soldi e informazioni sensibili

Il 2016 ha visto anche un numero relativamente elevato di intrusioni mirate nei network delle istituzioni finanziarie e bancarie. Queste hanno causato grandi furti di denaro (attraverso transazioni fraudolente) e di dati sensibili. Inoltre, sono state usate per inoculare malware su macchine POS e bancomat. Da cui poi sono stati rubati soldi fisicamente, I gruppi di cyber criminali più attivi in questo campo sono stati KS, Cobalt e Carbanak. A loro si devono aggiungere gli hacker che hanno compromesso il sistema SWIFT della Bangladesh Bank, sottraendo 81 milioni di dollari. Come nel caso dei ransomware, anche sul versante delle intrusioni mirate si prevede un aumento degli attacchi. Ciò, seppure con diverse TTP, evoluzione delle precedenti.

Le compromissioni di email aziendali (BEC)

Nel 2016 sono continuate le compromissioni di email aziendali (BEC) per colpire diversi settori, tra cui quello dei servizi finanziari. Questa tattica non è mutata in maniera significativa, in quanto si continua a rivelare di successo. Anche in questo caso l’obiettivo è sottrarre fondi o informazioni in maniera fraudolenta. Ciò grazie al reindirizzo dell’utente verso domini falsi (typosquatting), quasi identici agli originali, creati ad hoc per carpire informazioni. Il cybercrime è stato molto attivo nell’anno anche nella diffusione di banking trojans. Questi vengono diffusi per rubare le credenziali legate all’online banking. In particolare sono stati usati i malware Dyre e la sua variante Trickbot, Dridex e le nuove versioni basate sul codice di GoZNym. Solitamente, la tecnica più utilizzata per distribuirli è quella delle email con allegati malevoli. In particolare, file di Microsoft Office con false macro o file.JS all’interno di attachment .zip.

Altri non puntano al profitto, ma attaccano per motivi ideologici

La seconda categoria di attori informatici malevoli verso le istituzioni finanziarie è quella di chi compie attacchi per motivazioni non economiche. In prima fila ci sono gli hactivisti che colpiscono per diversi motivi. Si tratta soprattutto di attacchi DDos, defacement e furto di dati. I bersagli, invece, sono organizzazioni e aziende accusate di vari crimini: dalla corruzione all’abuso dei diritti umani al danneggiamento dell’ambiente. L’offensiva più nota contro il settore finanziario è OpIcarus, che punta alla distruzione delle istituzioni finanziarie. C’è anche OpNoDAPL campagna informatica contro la costruzione della Dakota Access Pipeline (DAPL). In questo contesto, gli hacker cercano di colpire le banche e tutte le organizzazioni del settore finanziario, considerate responsabili di aver supportato l’opera.

Gli insider con motivazioni ideologiche, una minaccia non prevedibile

In questo ambito ci sono anche gli insider motivati da ideologie. Le rivelazioni nel caso dei Panama Paper ne sono un esempio tipico. Qualcuno ha rubato informazioni e documenti riservati dai network dello studio Mossack Fonseca e poi li ha inviati alla stampa. Questa categoria è potenzialmente più pericolosa degli hactivisti, le cui possibili azioni possono essere previste in base ai temi sociali che appaiono sulla stampa. Online e cartacea. Gli insider, invece, agiscono improvvisamente, non si sa quante informazioni realmente abbiano e a chi sono state distribuite. Di conseguenza è difficile prevedere quali e quanti danni possano causare a un’istituzione. In ambito finanziario, si è visto che agiscono soprattutto quando siano convinti che all’interno dell’organizzazione ci sia corruzione o il non rispetto di alcuni principi fondamentali. Ciò che è certo sono gli obiettivi: denunciare pubblicamente il malcostume o pratiche scorrette.

Le cyber-spie

Infine, ci sono gli hacker che agiscono per interessi nazionali. Questi sono dediti soprattutto alla raccolta d’informazioni d’intelligence. Anche e soprattutto contro istituzioni finanziarie ed economiche. Nel 2016 è salita agli onori delle cronache la campagna Patchwork (o Dropping Elephant), che ha colpito diversi settori: finanziari, governativi, media, e Ong. È stata lanciata con un codice custom attraverso spear-phishing email. Tra i gruppi più attivi nell’ambito cyber-espionage c’è il Mofang, che ha preso di mira entità governative e commerciali in Myanmar, Canada, germania, Stati Uniti, Corea del Sud e Singapore. Le aziende mediorientali, saudite in particolare, sono state attaccate dalla campagna OilRig con una backdoor chiamata Helminth. Gli obiettivi sono sempre gli stessi: garantire a una nazione vantaggi su un’altra o proteggerla.

Il rapporto integrale di Digital Shadows sulle minacce informatiche alle istituzioni finanziarie e sulle previsioni nel 2017 (file PDF)