Un nuevo informe de Trustwave SpiderLabs proporciona una rica descripción de la multitud de amenazas que enfrentan las empresas de servicios financieros. Panorama de amenazas para el sector de servicios financieros en 2023 cubre tácticas y actores de amenazas prominentes, desglosa el flujo de ataques a servicios financieros en pasos y cubre varios puntos de entrada comunes de los piratas informáticos.

Las empresas de servicios financieros son especialmente vulnerables a las filtraciones de IA generativa y modelos de lenguaje grande (LLM) debido a los tipos de datos que almacenan. Sus numerosas relaciones de terceros con empresas que tienen cada vez más probabilidades de utilizar esas herramientas los dejan vulnerables a perder el control sobre sus datos. Dado que la seguridad de estas nuevas tecnologías aún se está evaluando, los fiservs deberían adoptar un enfoque de riesgo/beneficio y considerar sus implicaciones antes de continuar.

La IA generativa y los LLM ayudan a los delincuentes a crear correos electrónicos de phishing mucho mejores. Atrás quedaron los días de mensajes gramaticalmente deficientes que eran fáciles de detectar. Son reemplazados por entradas más convincentes elaboradas por LLM como FraudGPT y Worm GPT.

La amenaza del riesgo de terceros

La IA y los LLM son una de las muchas áreas donde las relaciones con terceros conllevan riesgos. Director global de seguridad de la información de Trustwave Daniel Daniels dijo que es fundamental que las instituciones tengan una visión clara de los planes de sus proveedores externos para el uso actual y futuro de esas tecnologías. Dada la pesada carga regulatoria que pesa sobre las instituciones financieras, estas deben garantizar que sus socios externos, que a menudo ven menos escrutinio, también cumplan.

"Muchos programas de seguridad se incorporaron tarde al juego", dijo Daniels. “Muchas organizaciones vieron el beneficio financiero, el beneficio empresarial en la velocidad de escala y la elasticidad, moviendo su ingeniería y avanzando más rápido al mercado. Y se apresuraron a hacerlo, o la pandemia los obligó por necesidad. Pero la pregunta es, ¿lo hicieron de forma segura?

“Necesitamos medir qué tan conectados estamos digitalmente con nuestros socios. Necesitamos entender cómo se conectan con nosotros. ¿Es nuestra API? ¿Es su API? ¿Cuánto cuesta el código abierto? ¿Cómo se priorizan los socios críticos frente a los socios menos críticos y cómo se lleva a cabo ese esfuerzo?

Para Daniels, el proceso incluye recorrer las relaciones paso a paso para identificar riesgos, niveles de protección, capacidades y controles. Determinar cómo se hacen cumplir las protecciones. ¿Dónde no se pueden hacer cumplir las protecciones y dónde introducen fricciones? Si la detección y la respuesta fallan, ¿cómo se promueve la resiliencia?

Tenga en cuenta la IA al realizar evaluaciones. Trabaje con socios que tengan capacidades comprobadas para detectar amenazas generadas por IA. Desarrollar políticas internas sólidas y capacitación para minimizar el riesgo de infracción. Considere la posibilidad de crear grupos de trabajo entre equipos relevantes para abordar las preocupaciones sobre la gobernanza y el intercambio de datos.

Amenazas de ransomware

En 2022, una encuesta de la Comisión de Comercio de Futuros de Productos Básicos de EE. UU. descubrió que tres de cada cuatro instituciones financieras mundiales experimentaron al menos un ataque de ransomware ese año. Las herramientas de ransomware como servicio reducen la barrera de entrada delictiva y aumentan el alcance potencial del ataque. 

Clop, LockBit y Alphv/BlackCat se encuentran entre los grupos de ransomware más infames. Los efectos se multiplican a medida que los datos robados se publican en la Dark Web para que otros los exploten. 

Realice copias de seguridad de los datos con frecuencia para aumentar la capacidad de recuperación de su empresa en caso de que se produzca un ataque. Almacene las copias de seguridad fuera del sitio y confirme que se puedan restaurar. Proteja los protocolos de escritorio remoto expuestos, parchee las vulnerabilidades conocidas y desactívelas si no son necesarias.

Las empresas estadounidenses de servicios financieros representan el 51% de las víctimas mundiales de ransomware. Ningún otro país alcanza los dos dígitos.

Los 5 pasos de un ataque

Punto de apoyo inicial

El informe detalla los cinco pasos de un flujo de ataque: punto de apoyo inicial, carga útil inicial, expansión/pivotación, malware y exfiltración/post-compromiso.

El phishing y los ataques de correo electrónico empresarial son los métodos más populares mediante los cuales los delincuentes se introducen en las instituciones. Los phishers quieren robar credenciales, insertar malware y desencadenar acciones como enviar dinero a un ejecutivo varado. Cerca del 80% de los archivos adjuntos maliciosos son HTML. Otras características comunes son los archivos ejecutables, PDF, Excel y Word. Los mensajes suelen incluir notificaciones de correo de voz, recibos de pago, órdenes de compra, remesas, depósitos bancarios y solicitudes de cotización. 

Las empresas más comunes citadas en correos electrónicos de phishing con archivos adjuntos maliciosos son American Express, DHL y Microsoft. Juntos representan el 60%. Las empresas más suplantadas en ataques de phishing puro son Microsoft con un enorme 52%, DocuSign con un 10% y American Express con un 8%. 

Las instituciones pueden protegerse realizando frecuentes pruebas simuladas de phishing y volviendo a capacitar a los infractores reincidentes. Deberían agregar medidas anti-spoofing, como tecnologías en puertas de enlace de correo electrónico, implementar escaneo de correo electrónico en capas con una herramienta como Mail Marshal de TrustWave y adoptar métodos para detectar errores ortográficos en los dominios para identificar ataques de phishing y BEC.

Carga útil inicial

Los delincuentes a menudo logran ingresar a las instituciones simplemente iniciando sesión, gracias a intentos exitosos de phishing y a una mala higiene en materia de ciberseguridad. El acceso a credenciales se utiliza en el 20% de los ataques. 

Ésta es un área donde una simple diligencia puede prevenir muchos ataques. Muchas cuentas administrativas y de alto acceso tienen contraseñas antiguas o compartidas. Muchas empresas tienen archivos no seguros que contienen contraseñas y otros que tienen "contraseña" en su título.

Daniels dijo que el trabajo remoto ha empeorado el problema.

"La separación entre lo corporativo y lo personal se está volviendo cada vez más borrosa en esta fuerza laboral digital", observó. “Asegurar que no solo tengamos una buena higiene en el entorno corporativo, sino que los usuarios se la lleven a casa. Queremos educar a todos los usuarios del negocio... porque son la primera línea de defensa”.

Las estrategias de seguridad incluyen cambios periódicos de contraseña, autenticación multifactor y almacenamiento cifrado y seguro.

Lea también:

Pivote de expansión

Los atacantes a menudo logran ingresar a las instituciones financieras a través de vulnerabilidades de software, que pueden abordarse mediante parches. Los exploits más comunes dirigidos a empresas de servicios financieros son:

• Apache Log4J (CVE-2021-44228)
• Cross-site scripting
• SQL Injection
• Directorio transversal
• Inicio de sesión cero (CVE-2020-1472)
• Núcleo de resorte RCE (CVE-2022-22965)
• MOVEit RCE (CVE-2023-34362)
• Servidor Exchange RCE (CVE-2022-41040, CVE-2022-41082) 
• Servidor de Exchange SSRF
• MS Windows RDP RCE (CVE-2019-0708)
• NTPsec ntpd (CVE-2019-6443) 
• Abuso del servicio de metadatos de instancias en la nube (IMDS) 
• Samba ServerPasswordSet Solicitud de API vulnerable
• Otros intentos de RCE no especificados 

El informe señala que las instituciones financieras también luchan contra algunas viejas vulnerabilidades.

"...Las empresas de servicios financieros más grandes con sistemas heredados más antiguos son más reticentes a realizar cambios en su infraestructura que potencialmente podrían alterar las operaciones", se lee. “Otro desafío es el inventario deficiente de activos, particularmente donde residen datos críticos. Esto hace que sea más difícil determinar qué priorizar en términos de corrección de vulnerabilidades de seguridad. 

"Además, una búsqueda reciente de Trustwave SpiderLabs en Shodan, que escanea todas las direcciones IP públicas en Internet, arrojó más de 110,000 puertos abiertos, pancartas de servicios y/o huellas dactilares de aplicaciones en organizaciones de servicios financieros, de los cuales 30,000 residen en los EE. UU." 

Malware

Los atacantes suelen obtener acceso inicial a través de sistemas de bajo valor. Pero una vez dentro, utilizan herramientas más sofisticadas como PowerShell y LOLBins para ampliar su alcance. 

Cerca del 30% de los incidentes del sector financiero involucran código controlado por adversarios que se ejecuta en sistemas locales o remotos. Los delincuentes suelen utilizar PowerShell debido a su presencia en entornos Windows. También engatusan a la gente para que abra archivos maliciosos.

Si no son detectados, los atacantes se dirigen a objetivos institucionales de mayor valor, como administradores de dominio y servidores de bases de datos. Remcom, Bloodhound, Lazagne y Sharphound son herramientas de uso común. Los atacantes se implantan aún más creando nuevas cuentas, modificando o manipulando las existentes y solicitando a los sistemas operativos que inicien diversas acciones.

Muchos delincuentes implementan un tipo específico de malware llamado robo de información, que a menudo apunta a datos como contactos, contraseñas e información sobre criptomonedas. Los ladrones de información en tránsito se centran en datos que se ingresan pero no se almacenan en un sistema, como información de cuentas que puede usarse para desviar dinero de las cuentas. 

Los ladrones de información más populares utilizados para apuntar a la industria de servicios financieros incluyen FormBook, XLoader, Lokibot y Snake Keylogger. Entre las soluciones sugeridas se encuentran herramientas antimalware basadas en host, controles de auditoría y monitoreo activo.

Los troyanos de acceso remoto (RAT) ayudan a los delincuentes a acceder a los niveles administrativos. Les permite operar cámaras web, tomar capturas de pantalla y descargar archivos. Las RAT comunes que se utilizan para apuntar al sector de servicios financieros son Agent Tesla y Gigabud RAT.

Exfiltración/Post compromiso

La etapa final es la exfiltración y el compromiso, que es cuando los atacantes ejecutan su plan final. Eso puede significar robar tanta información como puedan antes de seguir adelante, apuntar a fuentes específicas o causar estragos. Las tácticas sugeridas incluyen monitoreo de la Dark Web, realizar pruebas periódicas de penetración y respuesta a incidentes, y minimizar la cantidad de tiempo para abordar el daño.

Daniels dijo que los intermediarios de datos son una preocupación importante de la industria. Su importancia no hará más que crecer en una economía basada en datos. La industria de servicios financieros debe prepararse para una mayor cantidad de amenazas debido a que la IA reduce las barreras de entrada.

"Vamos a ver más de estas cosas y una mayor diversidad", dijo Daniels. “Su alcance en todas las organizaciones seguirá aumentando. 

“Como líder empresarial, ¿cómo ayuda a su equipo de seguridad a alcanzar el éxito? ¿Qué tan bien conoce a los actores de seguridad y de amenazas? ¿Tiene una capacidad compartida para compartir eso con sus socios?

.pp-multiple-authors-boxes-wrapper.box-post-id-45383.pp-multiple-authors-layout-boxed.multiple-authors-target-shortcode.box-instance-id-1 .box-header-title { font-size: 20px !important; } .pp-multiple-authors-boxes-wrapper.box-post-id-45383.pp-multiple-authors-layout-boxed.multiple-authors-target-shortcode.box-instance-id-1 .box-header-title { font-weight: bold !important; } .pp-multiple-authors-boxes-wrapper.box-post-id-45383.pp-multiple-authors-layout-boxed.multiple-authors-target-shortcode.box-instance-id-1 .box-header-title { color: #000000 !important; } .pp-multiple-authors-boxes-wrapper.box-post-id-45383.pp-multiple-authors-layout-boxed.multiple-authors-target-shortcode.box-instance-id-1 .pp-author-boxes-avatar img { border-style: none !important; } .pp-multiple-authors-boxes-wrapper.box-post-id-45383.pp-multiple-authors-layout-boxed.multiple-authors-target-shortcode.box-instance-id-1 .pp-author-boxes-avatar img { border-radius: 5% !important; } .pp-multiple-authors-boxes-wrapper.box-post-id-45383.pp-multiple-authors-layout-boxed.multiple-authors-target-shortcode.box-instance-id-1 .pp-author-boxes-name a { font-size: 24px !important; } .pp-multiple-authors-boxes-wrapper.box-post-id-45383.pp-multiple-authors-layout-boxed.multiple-authors-target-shortcode.box-instance-id-1 .pp-author-boxes-name a { font-weight: bold !important; } .pp-multiple-authors-boxes-wrapper.box-post-id-45383.pp-multiple-authors-layout-boxed.multiple-authors-target-shortcode.box-instance-id-1 .pp-author-boxes-name a { color: #000000 !important; } .pp-multiple-authors-boxes-wrapper.box-post-id-45383.pp-multiple-authors-layout-boxed.multiple-authors-target-shortcode.box-instance-id-1 .pp-author-boxes-description { font-style: none !important; } .pp-multiple-authors-boxes-wrapper.box-post-id-45383.pp-multiple-authors-layout-boxed.multiple-authors-target-shortcode.box-instance-id-1 .pp-author-boxes-description { text-align: left !important; } .pp-multiple-authors-boxes-wrapper.box-post-id-45383.pp-multiple-authors-layout-boxed.multiple-authors-target-shortcode.box-instance-id-1 .pp-author-boxes-meta a span { font-size: 20px !important; } .pp-multiple-authors-boxes-wrapper.box-post-id-45383.pp-multiple-authors-layout-boxed.multiple-authors-target-shortcode.box-instance-id-1 .pp-author-boxes-meta a span { font-weight: normal !important; } .pp-multiple-authors-boxes-wrapper.box-post-id-45383.pp-multiple-authors-layout-boxed.multiple-authors-target-shortcode.box-instance-id-1 .pp-author-boxes-meta { text-align: left !important; } .pp-multiple-authors-boxes-wrapper.box-post-id-45383.pp-multiple-authors-layout-boxed.multiple-authors-target-shortcode.box-instance-id-1 .pp-author-boxes-meta a { background-color: #6adc21 !important; } .pp-multiple-authors-boxes-wrapper.box-post-id-45383.pp-multiple-authors-layout-boxed.multiple-authors-target-shortcode.box-instance-id-1 .pp-author-boxes-meta a { color: #ffffff !important; } .pp-multiple-authors-boxes-wrapper.box-post-id-45383.pp-multiple-authors-layout-boxed.multiple-authors-target-shortcode.box-instance-id-1 .pp-author-boxes-meta a:hover { color: #ffffff !important; } .pp-multiple-authors-boxes-wrapper.box-post-id-45383.pp-multiple-authors-layout-boxed.multiple-authors-target-shortcode.box-instance-id-1 .ppma-author-user_url-profile-data { color: #6adc21 !important; } .pp-multiple-authors-boxes-wrapper.box-post-id-45383.pp-multiple-authors-layout-boxed.multiple-authors-target-shortcode.box-instance-id-1 .ppma-author-twitter-profile-data span, .pp-multiple-authors-boxes-wrapper.box-post-id-45383.pp-multiple-authors-layout-boxed.multiple-authors-target-shortcode.box-instance-id-1 .ppma-author-twitter-profile-data i { font-size: 16px !important; } .pp-multiple-authors-boxes-wrapper.box-post-id-45383.pp-multiple-authors-layout-boxed.multiple-authors-target-shortcode.box-instance-id-1 .ppma-author-twitter-profile-data { background-color: #6adc21 !important; } .pp-multiple-authors-boxes-wrapper.box-post-id-45383.pp-multiple-authors-layout-boxed.multiple-authors-target-shortcode.box-instance-id-1 .ppma-author-twitter-profile-data { border-radius: 50% !important; } .pp-multiple-authors-boxes-wrapper.box-post-id-45383.pp-multiple-authors-layout-boxed.multiple-authors-target-shortcode.box-instance-id-1 .ppma-author-twitter-profile-data { text-align: center !important; } .pp-multiple-authors-boxes-wrapper.box-post-id-45383.pp-multiple-authors-layout-boxed.multiple-authors-target-shortcode.box-instance-id-1 .ppma-author-linkedin-profile-data span, .pp-multiple-authors-boxes-wrapper.box-post-id-45383.pp-multiple-authors-layout-boxed.multiple-authors-target-shortcode.box-instance-id-1 .ppma-author-linkedin-profile-data i { font-size: 16px !important; } .pp-multiple-authors-boxes-wrapper.box-post-id-45383.pp-multiple-authors-layout-boxed.multiple-authors-target-shortcode.box-instance-id-1 .ppma-author-linkedin-profile-data { background-color: #6adc21 !important; } .pp-multiple-authors-boxes-wrapper.box-post-id-45383.pp-multiple-authors-layout-boxed.multiple-authors-target-shortcode.box-instance-id-1 .ppma-author-linkedin-profile-data { border-radius: 50% !important; } .pp-multiple-authors-boxes-wrapper.box-post-id-45383.pp-multiple-authors-layout-boxed.multiple-authors-target-shortcode.box-instance-id-1 .pp-author-boxes-recent-posts-title { border-bottom-style: dotted !important; } .pp-multiple-authors-boxes-wrapper.box-post-id-45383.pp-multiple-authors-layout-boxed.multiple-authors-target-shortcode.box-instance-id-1 .pp-multiple-authors-boxes-li { border-style: solid !important; } .pp-multiple-authors-boxes-wrapper.box-post-id-45383.pp-multiple-authors-layout-boxed.multiple-authors-target-shortcode.box-instance-id-1 .pp-multiple-authors-boxes-li { color: #3c434a !important; }

• Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
• PlatoData.Network Vertical Generativo Ai. Empodérate. Accede Aquí.
• PlatoAiStream. Inteligencia Web3. Conocimiento amplificado. Accede Aquí.
• PlatoESG. Carbón, tecnología limpia, Energía, Ambiente, Solar, Gestión de residuos. Accede Aquí.
• PlatoSalud. Inteligencia en Biotecnología y Ensayos Clínicos. Accede Aquí.
• Fuente: https://www.fintechnexus.com/trustwave-threat-report-a-fiserv-must-read/