Новый отчет от Trustwave SpiderLabs содержит подробное описание множества угроз, с которыми сталкиваются компании, предоставляющие финансовые услуги. Ландшафт угроз в секторе финансовых услуг 2023 года охватывает основных участников угроз и тактику, разбивает поток атак на финансовые услуги на этапы и охватывает несколько распространенных точек входа хакеров.
Компании, предоставляющие финансовые услуги, особенно уязвимы к утечкам из генеративного ИИ и больших языковых моделей (LLM) из-за типов данных, которые они хранят. Их многочисленные сторонние связи с компаниями, которые все чаще используют эти инструменты, делают их уязвимыми к потере контроля над своими данными. Поскольку безопасность этих новых технологий все еще оценивается, fiservs следует применять подход “риск / выгода” и учитывать их последствия, прежде чем действовать.
Генеративный искусственный интеллект и LLM помогают преступникам создавать гораздо более качественные фишинговые электронные письма. Дни грамматически некачественных сообщений, которые легко обнаружить, в значительной степени прошли. Они заменены более убедительными записями, подготовленными такими LLM, как FraudGPT и Worm GPT.
Угроза риска третьих сторон
Искусственный интеллект и LLM – одна из многих областей, где отношения с третьими сторонами сопряжены с риском. Кори Дэниелс, директор по глобальной информационной безопасности Trustwave, сказал, что для учреждений крайне важно иметь четкое представление о планах своих сторонних поставщиков относительно текущего и будущего использования этих технологий. Учитывая тяжелое бремя регулирования, возложенное на финансовые учреждения, они должны обеспечить соблюдение требований своих сторонних партнеров, которые часто подвергаются меньшему контролю.
“Многие программы безопасности были запущены с опозданием”, – сказал Дэниелс. “Многие организации увидели финансовую выгоду, преимущество для бизнеса в скорости масштабирования и эластичности, в продвижении своих разработок и более быстром продвижении на рынок. И они поспешили это сделать, или пандемия вынудила их в силу необходимости. Но вопрос в том, сделали ли они это надежно?
“Нам нужно измерить, насколько мы подключены к цифровым технологиям с нашими партнерами. Нам нужно понять, как они подключаются к нам. Это наш API? Это их API? Насколько широко используется открытый исходный код? Как вы расставляете приоритеты между критически важными партнерами и менее важными партнерами и как вы справляетесь с этими усилиями?”
Для Дэниелса процесс включает в себя пошаговое изучение взаимоотношений для выявления рисков, уровней защиты, возможностей и средств контроля. Определите, как обеспечивается соблюдение мер защиты. Где меры защиты не могут быть применены и где они создают трения? В случае сбоя в обнаружении и реагировании, как вы повышаете отказоустойчивость?
Учитывайте искусственный интеллект при проведении оценок. Работайте с партнерами, которые обладают проверенными возможностями в обнаружении угроз, генерируемых искусственным интеллектом. Разработайте надежную внутреннюю политику и обучение для минимизации риска взлома. Рассмотрите возможность создания рабочих групп в соответствующих подразделениях для решения проблем, связанных с управлением и обменом данными.
Угрозы программ-вымогателей
В 2022 году исследование Комиссии по торговле товарными фьючерсами США показало, что в этом году три из каждых четырех мировых финансовых учреждений подверглись как минимум одной атаке программ-вымогателей. Инструменты “Вымогатели как услуга” снижают криминальный барьер для проникновения и увеличивают потенциальный масштаб атаки.
Clop, LockBit и Alphv / BlackCat являются одними из самых известных групп вымогателей. Последствия умножаются, поскольку украденные данные публикуются в Темной Сети для использования другими.
Часто создавайте резервные копии данных, чтобы повысить возможности восстановления вашей компании в случае атаки. Храните резервные копии за пределами сайта и подтверждайте, что их можно восстановить. Защищайте открытые протоколы удаленного рабочего стола, исправляйте известные уязвимости и отключайте их, если в них нет необходимости.
На американские компании, предоставляющие финансовые услуги, приходится 51% глобальных жертв программ-вымогателей. Ни в одной другой стране этот показатель не достигает двузначных цифр.
5 этапов атаки
Начальный плацдарм
В отчете подробно описаны пять этапов процесса атаки: начальный плацдарм, начальная полезная нагрузка, расширение / поворот, вредоносное ПО и эксфильтрация / посткомпрометация.
Фишинг и компрометация деловой электронной почты являются наиболее популярными методами, с помощью которых преступники проникают в учреждения. Фишеры хотят украсть учетные данные, внедрить вредоносное ПО и инициировать действия, такие как отправка денег застрявшему руководителю. Около 80% вредоносных вложений представляют собой HTML. Другие распространенные функции – исполняемые файлы, PDF-файлы, документы Excel и Word. Сообщения часто включают уведомления по голосовой почте, платежные квитанции, заказы на покупку, денежные переводы, банковские депозиты и запросы котировок.
Наиболее распространенными компаниями, упоминаемыми в фишинговых письмах с вредоносными вложениями, являются American Express, DHL и Microsoft. Вместе они составляют 60%. Компании, наиболее подверженные чисто фишинговым атакам, – Microsoft (целых 52%), DocuSign (10%) и American Express (8%).
Учреждения могут защитить себя, часто проводя имитационные тесты на фишинг и переподготовку рецидивистов. Им следует добавить меры по борьбе с подменой, такие как технологии на шлюзах электронной почты, развернуть многоуровневое сканирование электронной почты с помощью такого инструмента, как Mail Marshal от TrustWave, и внедрить методы обнаружения орфографических ошибок в домене для выявления фишинговых и BEC-атак.
Начальная полезная нагрузка
Преступники часто проникают в учреждения, просто войдя в систему, благодаря успешным попыткам фишинга и плохим мерам кибербезопасности. В 20% атак используется доступ к учетным данным.
Это одна из областей, где простая осмотрительность может предотвратить множество атак. Многие административные учетные записи и учетные записи с высоким доступом имеют старые или общие пароли. У многих компаний есть незащищенные файлы, содержащие пароли, а также файлы, в названии которых указано “пароль”.
Дэниелс сказал, что удаленная работа усугубила проблему.
“Разделение корпоративного и личного становится все более размытым в этой цифровой рабочей силе”, – заметил он. “Мы гарантируем не только соблюдение правил гигиены в корпоративной среде, но и то, что пользователи забирают это с собой домой. Мы хотим обучить каждого пользователя в бизнесе… потому что они являются первой линией обороны”.
Стратегии безопасности включают регулярную смену пароля, многофакторную аутентификацию и безопасное зашифрованное хранилище.
Расширение
Злоумышленники часто проникают в финансовые учреждения с помощью уязвимостей программного обеспечения, которые можно устранить с помощью исправлений. Наиболее распространенными эксплойтами, нацеленными на компании, предоставляющие финансовые услуги, являются:
- Apache Log4J (CVE-2021-44228)
- Межсайтовый скриптинг
- Внедрение SQL
- Обзор каталога
- ZeroLogon (CVE-2020-1472)
- Spring Core RCE (CVE-2022-22965)
- MOVEit RCE (CVE-2023-34362)
- RCE Exchange Server (CVE-2022- 41040, CVE-2022-41082)
- Сервер обмена SSRF
- RDP RCE для MS Windows (CVE-2019-0708)
- NTPsec ntpd (CVE-2019-6443)
- Облачная служба метаданных (IMDS) Нарушение
- Запрос уязвимого API Samba ServerPasswordSet
- Другие неуказанные попытки RCE
В отчете отмечается, что финансовые учреждения также борются с некоторыми старыми уязвимостями.
“… Крупные компании, предоставляющие финансовые услуги, со старыми устаревшими системами более неохотно вносят изменения в свою инфраструктуру, которые потенциально могут нарушить работу”, – говорится в нем. “Еще одной проблемой является плохая инвентаризация активов, особенно там, где хранятся критически важные данные. Это затрудняет определение приоритетов с точки зрения устранения уязвимостей в системе безопасности.
“Кроме того, недавний поиск Shodan в Trustwave SpiderLabs, который сканирует все общедоступные IP-адреса в Интернете, выявил более 110 000 открытых портов, сервисных баннеров и / или отпечатков пальцев приложений в организациях, предоставляющих финансовые услуги, с 30 000 проживающими в США”.
Вредоносное ПО
Злоумышленники часто получают первоначальный доступ через малоценные системы. Но, оказавшись внутри, они используют более сложные инструменты, такие как PowerShell и LOLBins, чтобы расширить свой охват.
Около 30% инцидентов в финансовом секторе связаны с контролируемым злоумышленниками кодом, запущенным в локальных или удаленных системах. Преступники часто используют PowerShell из-за его присутствия в средах Windows. Они также уговаривают пользователей открывать вредоносные файлы.
Если злоумышленники не обнаружены, они переходят к более ценным институциональным целям, таким как администраторы доменов и серверы баз данных. Remcom, Bloodhound, Lazagne и Sharphound являются широко используемыми инструментами. Злоумышленники продолжают внедрять себя, создавая новые учетные записи, изменяя существующие или манипулируя ими, а также побуждая операционные системы инициировать различные действия.
Многие преступники внедряют особый тип вредоносных программ под названием infostealers, которые часто нацелены на такие данные, как контакты, пароли и информацию о криптовалютах. Информационные компании, занимающиеся транзитом, фокусируются на данных, которые вводятся в систему, но не хранятся в ней, таких как информация об учетной записи, которая может быть использована для перекачки денег со счетов.
Популярные похитители информации, используемые для нападения на индустрию финансовых услуг, включают FormBook, XLoader, Lokibot и Snake Keylogger. Среди предлагаемых средств защиты от вредоносных программ на хостах, средства контроля аудита и активный мониторинг.
Трояны удаленного доступа (RATs) помогают преступникам получить доступ к административным уровням. Это позволяет им управлять веб-камерами, делать скриншоты и скачивать файлы. Распространенными крысами, используемыми для нападения на сектор финансовых услуг, являются Agent Tesla и Gigabud RAT.
Эксфильтрация / Сообщение о компрометации
Заключительный этап – это эксфильтрация и компрометация, когда злоумышленники выполняют свой окончательный план. Это может означать кражу как можно большего количества информации, прежде чем двигаться дальше, нацеливаясь на конкретные источники или вызывая хаос. Предлагаемая тактика включает мониторинг Dark Web, проведение регулярных тестов на проникновение и реагирование на инциденты, а также сведение к минимуму времени на устранение ущерба.
Дэниелс сказал, что брокеры данных являются серьезной проблемой отрасли. Их значение будет только расти в экономике, основанной на данных. Индустрия финансовых услуг должна быть готова к увеличению числа угроз из-за ИИ, снижающего барьеры для входа.
“Мы увидим больше подобных вещей и добавим разнообразия”, – сказал Дэниелс. “Их охват во всех организациях будет продолжать увеличиваться.
“Как вы, как бизнес-лидер, помогаете своей команде безопасности добиваться успеха? Насколько хорошо вы знаете сотрудников службы безопасности и исполнителей угроз? Есть ли у вас общая возможность поделиться этим со своими партнерами?”