Los ciberataques al sector financiero aumentan en 2023

El sector financiero es uno de los objetivos que recibe más ciberataques en la actualidad y el cibercrimen sigue en aumento. Hoy jueves 30 de noviembre se conmemora el Día Internacional de la Seguridad de la Información y debemos tener en cuenta que las transformaciones digitales dentro del sector son una gran preocupación para las empresas a nivel mundial y hace que las posibilidades de ataque crezcan. Esto requiere conocer el comportamiento de los ciberdelincuentes para poder protegerse adecuadamente e impulsar la seguridad financiera digital.

El equipo de ciberseguridad de S2 Grupo, nos recuerda que para ejecutar sus ataques, los ciberdelincuentes emplean las llamadas ‘Técnicas, Tácticas y Procedimientos’ (TTPs), que son comportamientos de ataque ejecutados contra las organizaciones víctimas.

Nuestro socio-director, José Rosell, ha enfatizado que los profesionales de ciberseguridad, que trabajamos en el sector financiero, hemos de tener correctamente identificadas las TTPs que usan con mayor frecuencia los principales grupos hostiles que lanzan ciberataques contra las organizaciones del sector financiero. Es el único camino para poder implementar herramientas específicas que detecten estas amenazas e iniciar la mitigación del intento de intrusión o de respuesta de incidente.

¿Quién está detrás de los ciberataques al sector financiero?

Grupos APT (amenazas persistentes avanzadas)

Éstos tienen altos conocimientos técnicos, experiencia y gran cantidad de recursos que emplean para infiltrarse en las redes y sistemas de sus víctimas con el objetivo de acceder a información confidencial, sabotear las operaciones de sus contrincantes o establecer una persistencia para llevar a cabo estas acciones en el futuro. Las APT se caracterizan por la tenacidad en la búsqueda de sus objetivos a lo largo del tiempo, la capacidad de adaptarse a los esfuerzos defensivos de sus adversarios y la determinación para mantener un nivel continuo de interacción necesario para alcanzar sus metas .

A menudo, son agencias de inteligencia internas o externas que trabajan en favor de los intereses de un Estado, proporcionando inteligencia que ayude a sus dirigentes en la toma de decisiones estratégicas.

Sus objetivos son: atender a los intereses militares, políticos, económicos y de seguridad interna, la recopilación de información sobre inteligencia y seguridad nacional, además de inteligencia exterior, de objetivos militares, estratégicos, económicos, científicos y tecnológicos, de recopilación de información y robo financiero para financiar regímenes.

Algunas TTPs de estos grupos de ciberdelincuencia son:

• Explotación de vulnerabilidades poco tiempo después de ser publicadas por los fabricantes o, incluso, desconocidas por los propios fabricantes de un dispositivo.
• Empleo de ingeniería social para el acceso inicial o para la descarga de artefactos maliciosos.
• Empleo de servicios cloud legítimos como Yandex, Dropbox y Google Drive para diseminar malware y filtrar datos de las máquinas de sus víctimas.
• Uso de archivos con doble extensión para confundir al usuario.
• Crea servicios, tareas programadas y modificar claves de registro para establecer persistencia.

Cibercrimen

La mayoría de los delitos cibernéticos son cometidos por ciberdelincuentes o piratas informáticos que quieren ganar dinero. Sin embargo, en ocasiones el ciberdelito tiene como objetivo dañar ordenadores o redes por motivos distintos al lucro que podrían ser políticos o personales.

En este caso pueden desarrollarse diferentes tipos de actividades delictivas como ataques de ransomware, fraude por correo electrónico e Internet y fraude de identidad, así como intentos de robar información de cuentas financieras, tarjetas de crédito u otra información de tarjetas de pago. De hecho, el ransomware como servicio se ha convertido en una de la principales ciberamenazas a nivel global.

Algunas TTPs que se pueden destacar en este grupo son:

• Uso de exploits y vulnerabilidades de software sin parches para obtener acceso no autorizado a los sistemas.
• Phishing con archivos adjuntos o enlaces maliciosos.
• Uso de credenciales válidas.
• Firmas digitales para eludir medidas de seguridad específicas EDR (Endpoint Detection and Response).
• Robo de datos y doble extorsión (amenaza con publicación).
• Desactivar soluciones antimalware y de monitorización.
• Uso de WinRAR para comprimir los archivos.

Grupos hacktivistas

El hacktivismo consiste en la realización de ciberataques para promover unas ideas políticas, religiosas o sociales. El sector financiero es uno de los sectores más atacados por los grupos hacktivistas debido a que una de sus principales motivaciones es crear disrupción en los sistemas de la víctima y tener impacto mediático. De este modo le generan un enorme desprestigio a la empresa u organización.

Algunas de las TTPs más utilizadas por grupos hacktivistas contra el sector financiero son:

• Escaneo de vulnerabilidades basado en botnets con dispositivos IoT días antes de los ataques de denegación de servicio.
• Uso del software DDoSIA para realizar ataques DDoS.
• Servidores de comando y control distribuidos, que tienen la tarea de enviar objetivos para que sean atacados por los usuarios de la plataforma DDoSIA.
• Uso de GodzillaBotnet para llevar a cabo sus ciberataques, botnet también asociada al grupo SkyNet.
• Lanzamiento de ataques HTTP. Han enviado inundaciones de tráfico HTTP específicamente diseñadas para abrumar la infraestructura específica.
• Especializados en DDoS, Hacking, Doxing y Defacement.
• Ataques de diccionario de fuerza bruta.
• Ataques DDoS en el modelo OSI.

Ante este contexto, nuestro equipo te ofrece algunas recomendaciones básicas para la ciberprotección en el sector financiero: llevar a cabo tareas de revisión proactiva como un servicio de threat hunting, disponer de un proveedor de inteligencia que te mantenga actualizado respecto a las nuevas TTPs e integrar las reglas proporcionadas por una compañía como S2 Grupo dentro de tu sistema perimetral de defensa.