Індустрія фінансових послуг стикається з підвищеними кіберзагрозами, атаки з використанням програм-вимагачів та вразливостей нульового дня становлять значні ризики.
Згідно зі звітом QBE North America, організації, що надають фінансові послуги, повинні посилити свій кіберзахист і стійкість перед обличчям мінливого ландшафту загроз, що постійно зростає.
Атаки з використанням програм-вимагачів та вимагачів становлять високу загрозу для організацій у всіх галузях, і сектор фінансових послуг не є винятком. Згідно зі звітом, у 2023 році фінансові послуги були четвертим за кількістю атак з використанням програм-вимагачів після бізнес-послуг (перше місце), роздрібної торгівлі (друге місце) та виробництва (третє місце).
Злочинна екосистема, що стоїть за програмами-вимагачами, еволюціонувала, надаючи зловмисникам різноманітні методи для отримання доступу до корпоративних мереж, зазначає QBE. Від використання вразливостей до фішингу та купівлі облікових даних у "темній мережі" – зловмисники мають безліч способів зламати захист організацій, що надають фінансові послуги. Навіть найсучасніші заходи безпеки не є стовідсотково надійними, оскільки досвідчені зловмисники можуть адаптувати свої методи, щоб уникнути виявлення.
Згідно з даними з сайтів витоків програм-вимагачів, Сполучені Штати були найбільш постраждалою країною у секторі фінансових послуг: лише у 2023 році було зафіксовано 346 випадків, коли організації, що надають фінансові послуги, були визнані потерпілими.
За даними QBE, взаємопов'язаний характер індустрії фінансових послуг означає, що атака на одну організацію може мати хвильові ефекти по всьому сектору. Особливо високий ризик становлять атаки на ланцюги поставок, коли зловмисник компрометує постачальника послуг або продавця, щоб отримати доступ до мереж їхніх клієнтів. Порушення, спричинені такими атаками, можуть бути масштабними, як ми бачили на прикладі кількох інцидентів у 2023 та 2024 роках.
Ключові вразливості
Згідно зі звітом, одним з основних способів проникнення зловмисників у фінансові організації є використання зовнішньої інфраструктури та використання вразливостей "нульового дня".
У звіті компанії Mandiant, опублікованому в червні 2024 року, зазначається, що в 30% атак зловмисників-здирників найпоширенішим початковим вектором доступу була експлуатація вразливостей в інфраструктурі, що дозволяло отримати несанкціонований доступ до середовища жертви. У 25% випадків за експлоітами слідували викрадені облікові дані, а на аутентифікацію грубою силою і фішинг припадало по 14% початкових векторів вторгнення.
У 2023 році команди безпеки зіткнулися з низкою критичних вразливостей, які дозволили зловмисникам зламати мережі, таких як MOVEit та Citrix Bleed. Ці вразливості "нульового дня" були використані або до виходу патчів, або невдовзі після їх розкриття, залишаючи організації вразливими, поки вони намагалися впровадити виправлення.
Зростаюча доступність вразливостей "нульового дня" для ширшого кола зловмисників створює все більший ризик.
Як зазначається у звіті, "нульові дні", які колись були доступні лише просунутим національним державам, тепер доступні більшій кількості загрозливих суб'єктів завдяки зростаючій технічній кваліфікації організованих злочинних угруповань. Майже неминуче, що "нульові дні" та інші вразливості з високим рівнем впливу будуть і надалі виявлятися і використовуватися небезпечними суб'єктами, такими як оператори програм-вимагачів, особливо в периферійних системах, таких як VPN, поштові сервери, брандмауери і додатки для передачі файлів.
Зловмисники постійно адаптують свою фішингову тактику для подолання нових засобів контролю безпеки. QBE посилається на звіт компанії Egress, який дає уявлення про стан фішингу в 2024 році:
- Фінанси, юриспруденція та охорона здоров'я є найбільш цільовими секторами
- Фінанси, бухгалтерія, відділ кадрів та маркетинг – це найцільовіші відділи в бізнесі.
- HTML-вкладення отримали найбільше поширення серед зловмисників
- Вкладення документів PDF та Word тепер зазвичай містять посилання на шкідливі сайти
- Файлообмінники, такі як Dropbox, Google Drive та підконтрольні зловмисникам сайти SharePoint, все частіше використовуються для розміщення шкідливого програмного забезпечення
Зловмисники також обходять багатофакторну автентифікацію за допомогою таких методів, як атаки "втоми від MFA", коли користувачам засипають численними запитами MFA, доки вони не приймуть їх, зазначає QBE. Фішингові набори можуть запропонувати зловмисникам можливість обійти MFA, часто за допомогою зворотних проксі-серверів, які передають багатофакторні коди зловмисникам в режимі реального часу.
Зловмисники також закидають шкідливе програмне забезпечення в системи жертв через підроблені або скомпрометовані веб-сайти. Коли користувач відвідує такі веб-сайти, йому можуть з'являтися спливаючі вікна із закликом оновити браузер, як у відомій кампанії FakeUpdates/SocGholish. Інший метод, шкідлива реклама, використовує веб-сайти, що імітують легальні бренди або додатки, щоб обманом змусити користувачів завантажити шкідливе програмне забезпечення поряд з легальними на перший погляд програмами, зазначається у звіті.
Повний звіт QBE по Північній Америці можна переглянути тут.