Rapporto: i cybercriminali utilizzano tunnel nascosti per spiare e rubare dalle società di servizi finanziari

Vectra ha annunciato oggi che molte organizzazioni finanziarie globali sono bersaglio di sofisticati attacchi informatici che mirano a rubare dati critici e informazioni di identificazione personale (PII).

Nell'ambito dei principali risultati emersi dal nuovo Spotlight Report 2018 sui servizi finanziari, Vectra ha rivelato che i cybercriminali creano tunnel nascosti per introdursi nelle reti e rubare dati critici e informazioni personali. Questi tunnel vengono utilizzati per controllare a distanza un attacco, noto come command-and-control, e rubare dati, noto come exfiltrazione, rimanendo in gran parte invisibili.

"I cybercriminali continuano a innovare utilizzando tunnel nascosti per mimetizzarsi nel traffico normale, eludere i controlli di accesso rigorosi e sottrarre dati finanziari", ha affermato Jon Oltsik, analista senior presso Enterprise Strategy Group. "Il rapporto Vectra fornisce approfondimenti su questi comportamenti degli aggressori e descrive in dettaglio ciò che i cybercriminali sono disposti a fare per rubare informazioni finanziarie personali e private".

Secondo il rapporto Vectra, le violazioni della sicurezza in diversi settori continuano a crescere e il settore dei servizi finanziari non fa eccezione. Tuttavia, sebbene le società di servizi finanziari non abbiano subito lo stesso volume di violazioni di altri settori, esse continuano a essere esposte a rischi considerevoli in quanto obiettivi redditizi per i cybercriminali alla ricerca di guadagni facili.

Vectra ha riscontrato nello stesso settore dei servizi finanziari lo stesso tipo di comportamenti degli aggressori che hanno portato alla violazione dei dati di Equifax nel 2017. Secondo quanto riportato dalla società alla Securities and Exchange Commission, la violazione di Equifax ha comportato il furto di numeri di patente di guida, indirizzi e-mail, numeri di previdenza sociale e altre informazioni personali di 145,6 milioni di consumatori. Dopo che la violazione si è verificata, secondo quanto riferito, è rimasta inosservata per 78 giorni.

Le informazioni contenute nel rapporto Spotlight 2018 di Vectra si basano sulle osservazioni e sui dati riportati nell'edizione 2018 della RSA Conference dell'Attacker Behavior Industry Report. Il rapporto rivela i comportamenti e le tendenze degli aggressori nelle reti di 246 clienti che hanno aderito volontariamente al servizio, operanti nel settore dei servizi finanziari e in altri 13 settori.

Da agosto 2017 a gennaio 2018, la piattaforma Cognito di Vectra per il rilevamento degli attacchi informatici e la ricerca delle minacce ha monitorato il traffico di rete e raccolto metadati da oltre 4,5 milioni di dispositivi e carichi di lavoro provenienti da cloud, data center e ambienti aziendali dei clienti. L'analisi di questi metadati fornisce una migliore comprensione dei comportamenti e delle tendenze degli aggressori, nonché dei rischi aziendali, consentendo ai clienti di Vectra di evitare violazioni dei dati catastrofiche.

"Ogni settore ha un profilo di rete e comportamenti degli utenti correlati a modelli di business, applicazioni e utenti specifici", ha affermato Chris Morales, responsabile dell'analisi della sicurezza presso Vectra. "Gli aggressori imiteranno e si mimetizzeranno con questi comportamenti, rendendoli difficili da smascherare".

"Ciò che spicca maggiormente è la presenza di tunnel nascosti, che gli aggressori utilizzano per eludere i rigorosi controlli di accesso, i firewall e i sistemi di rilevamento delle intrusioni", ha aggiunto Morales. "Gli stessi tunnel nascosti consentono agli aggressori di sgattaiolare fuori dalle reti, senza essere individuati, con i dati rubati".

I risultati principali del rapporto includono:

• Vectra ha rilevato un numero significativamente maggiore di tunnel di comando e controllo nascosti ogni 10.000 dispositivi nei servizi finanziari rispetto a tutti gli altri settori messi insieme.
• Vectra ha rilevato più del doppio dei tunnel nascosti per l'esfiltrazione dei dati ogni 10.000 dispositivi nel settore dei servizi finanziari rispetto a tutti gli altri settori messi insieme.
• Per ogni 10.000 dispositivi in tutti i settori, sono stati rilevati 11 tunnel di esfiltrazione nascosti camuffati da traffico web crittografato. Ma nei servizi finanziari, tale numero è più che raddoppiato, raggiungendo quota 23. Da agosto 2017 a gennaio 2018, i tunnel di esfiltrazione nascosti camuffati da traffico web non crittografato sono passati da sette ogni 10.000 dispositivi a 16 nei servizi finanziari.
• Per ogni 10.000 dispositivi in tutti i settori, sono stati rilevati due tunnel nascosti camuffati da traffico web crittografato. Ma nei servizi finanziari, tale numero è più che raddoppiato, arrivando a cinque. Da agosto 2017 a gennaio 2018, i tunnel di esfiltrazione nascosti camuffati da traffico web non crittografato sono raddoppiati da due ogni 10.000 dispositivi a quattro nei servizi finanziari.

Cognito Detect e la sua altrettanto potente controparte AI, Cognito Recall, sono i pilastri della piattaforma Cognito. Cognito Detect automatizza il rilevamento in tempo reale di aggressori nascosti nei carichi di lavoro cloud dei data center, negli utenti e nei dispositivi Internet of Things, fornendo a Cognito Recall punto di partenza logico per eseguire la ricerca delle minacce assistita dall'intelligenza artificiale e condurre indagini conclusive sugli incidenti.

I dati contenuti nel rapporto Spotlight si basano su metadati anonimi forniti dai clienti Vectra che hanno scelto di condividere le metriche di rilevamento. La piattaforma Cognito identifica i comportamenti che indicano attacchi in corso monitorando direttamente tutto il traffico e i log rilevanti, compreso il traffico da e verso Internet, il traffico interno tra dispositivi di rete e i carichi di lavoro virtualizzati nei data center privati e nei cloud pubblici. Questa analisi fornisce un'importante visibilità sulle fasi avanzate degli attacchi.