Cyberveille relative au secteur des services financiers et des assurances

CYBERMENACES DANS LES SECTEURS DES SERVICES FINANCIERS ET DES ASSURANCES

Les entreprises des secteurs des services financiers et des assurances sont sous la menace des types d'attaquants suivants :

  • Les cybercriminels aux motivations d'ordre financier cherchent d'une part à obtenir des données financières et d'autres données clients qu'ils peuvent revendre, et d'autre part à réaliser des virements frauduleux.
  • Les hacktivistes mènent des actions destinées à perturber le fonctionnement de leur victime et à jeter le discrédit sur l'entreprise. Ils agissent pour protester contre une politique ou action spécifique, ou pour apporter leur soutien à une cause particulière.
  • Certains groupes APT1 cherchent à recueillir des renseignements offrant à leur gouvernement commanditaire des informations sur les opérations de l'entreprise ciblée, ou sur des clients potentiellement sensibles.
finance

Horizon des menaces & perspectives pour le secteur

Les établissements de services financiers et compagnies d'assurances demeurent une cible de prédilection pour les cybercriminels, les hacktivistes et les groupes APT.

Les facteurs ci-dessous sont susceptibles d'intensifier les menaces dirigées contre le secteur :

  • Les cybercriminels spécialisés dans le vol d'identifiants convoitent particulièrement les applications mobiles et autres services de gestion de finances personnelles destinés au grand public. Ils constituent une voie d'accès à de grandes bases d'identifiants, d'autant plus attrayantes qu'elles présentent parfois des dispositifs de défense moins robustes que ceux des grandes banques.
  • Des techniques d'infection courantes, telles que des bots (robots), offrent aux attaquants un moyen d'accès aux réseaux d'établissements financiers qui peuvent potentiellement leur rapporter très gros. Nous avons déjà vu des cybercriminels profiter d'infections par Citadel pour installer un malware personnalisé, se déplacer latéralement dans l'environnement et voler des données financières.
  • Toute implication d'acteurs du secteur dans des polémiques peut également pousser des hacktivistes à jeter le discrédit sur les entreprises qu'ils jugent fautives, tout en sensibilisant l'opinion publique à ces sujets. Cependant, les hacktivistes peuvent également s'en prendre à ce secteur pour attirer l'attention sur un tout autre sujet, considérant que la visibilité du milieu financier offre une plate-forme idéale pour la médiatisation de leurs actions.
  • Un conflit ou des tensions accrues entre pays peuvent inciter les groupes APT associés aux protagonistes à mener des actions de perturbation et de sabotage visant à offrir à leur État commanditaire un moyen de pression sur son adversaire.
Nous avons observé au moins 15 groupes responsables d'attaques avancées visant des entreprises appartenant aux sous-secteurs d'activité ci-dessous :
  • Gestion des actifs
  • Exploitants de DAB
  • Fabrication de DAB & autres terminaux en libre-service
  • Banques & mutuelles
  • Services d'évaluation du crédit
  • Systèmes de paiement électronique
  • Gestionnaires financiers & conseillers en placement
  • Éditeurs de logiciels pour administrations publiques, services financiers & services juridiques
  • Traitement des transactions financières
  • Courtiers en valeurs mobilières
  • Courtiers & agents en assurances
  • Sociétés de placement
  • Organisme de crédit immobilier
  • Sociétés d'assurances multirisques
  • Sociétés de capital-risque
Types de données volées à des clients d'établissements de services financiers & de compagnies d'assurance
  • Registres de prestations
  • Business plans & objectifs commerciaux & stratégiques
  • Guide des salariés & règlement intérieur
  • CV du personnel
  • Supports de formation du personnel
  • Supports événementiels
  • Documents financiers
  • Factures
  • Organigrammes
  • Données tarifaires
  • Instructions d'utilisation de produits & matériel de formation
  • Rapports périodiques
  • Descriptions & configurations logicielles
  • Cahiers des charges

Étude de cas : Des cybercriminels compromettent le système de gestion des cartes d'une banque

Nous avons récemment mené une enquête pour le compte d'une banque victime d'utilisations frauduleuses de cartes pour effectuer des retraits non autorisés sur des DAB situés en Europe de l'Est. Une fois le logiciel et le système de gestion des cartes compromis, les attaquants ont dérobé, ou tenté de dérober, la bagatelle de 150 000 dollars sur des comptes de clients de la banque. À l'origine de la compromission : une backdoor installée sur le système d'un employé de la banque lors de la consultation d'un site Web infecté par un exploit de navigateur. Munis d'identifiants légitimes, les attaquants sont ensuite parvenus à accéder au système de gestion des cartes de la banque, puis ont augmenté le solde enregistré et les limites de retrait de plusieurs comptes de clients. Ils ont ensuite modifié le code PIN associé à ces comptes et ont ainsi pu prélever un maximum d'argent en utilisant des identifiants en apparence légitimes.

top5-finance

PRINCIPAUX MALWARES DÉTECTÉS

WITCHCOVEN Script de profilage conçu pour obtenir des informations sur les systèmes d'exploitation, les navigateurs et les applications utilisés par les visiteurs de sites Web. Nous soupçonnons les auteurs de menaces APT d'utiliser ces scripts à des fins de footprinting — une technique de récolte d'informations utilisée pour établir le profil des systèmes informatiques et des entreprises qui les exploitent.
XtremeRAT Outil d'administration à distance (RAT) disponible sur Internet et capable de charger et télécharger des fichiers, interagir avec le registre Windows, manipuler des services et processus, et capturer des données (notamment audio et vidéo).
Gh0stRAT Outil d'administration à distance (RAT) dérivé de code source disponible sur Internet. Il peut réaliser des captures audio et d'écran, activer une webcam, lister et arrêter des processus, ouvrir un shell, effacer des journaux d'événements, ainsi que créer, manipuler, supprimer, lancer et transférer des fichiers.
CANNONFODDER Voleur d'identifiants qui dépose un fichier Microsoft Word malveillant et vole les identifiants stockés dans Internet Explorer, Mozilla Firefox et Google Chrome. Il installe également un enregistreur des saisies clavier, et opère en mode interactif pour permettre à l'attaquant de soumettre le système cible à une investigation plus approfondie et exfiltrer les données.
Hussarini Backdoor riche en fonctionnalités utilisée par plusieurs groupes APT présumés basés en Chine.

PRINCIPAUX CRIMEWARES DÉTECTÉS

Upatre Programme de téléchargement de chevaux de Troie. Une fois infiltré sur un système (généralement via un e-mail de spam, un téléchargement drive-by ou un exploit), Updatre y télécharge un ou plusieurs autres types de malwares. Selon nos observations, Upatre distribue un large éventail de malwares, notamment Zbot, Dyre, Rovnix, CryptoLocker et Necurs.
Ruskill Kit de crimeware commercial vendu sur les forums cybercriminels, Ruskill peut être utilisé pour contrôler des terminaux compromis organisés en botnets afin de lancer des attaques par déni de service distribué (DDoS).
Zeus (ou Zbot, Citadel, Gameover) Famille de chevaux de Troie principalement conçus pour le vol d'identifiants bancaires. La richesse fonctionnelle de Zeus lui permet notamment d'exécuter des commandes shell à distance.
Jenxcus (ou njw0rm et njworm) Évolution du célèbre malware njRAT, Jenxcus inclut des fonctionnalités supplémentaires telles que le vol d'identifiants ou la capacité à se propager sur les disques amovibles. Il est souvent transmis via des liens malveillants inclus dans les e-mails ou des téléchargements drive-by sur des sites compromis
Fareit Cheval de Troie spécialisé dans le vol d'informations, pouvant également forcer les systèmes infectés à participer à des attaques par déni de service distribué (DDoS) et à télécharger d'autres types de malwares.

1 Les groupes APT sont réputés pour recevoir d'un État commanditaire l'ordre de dérober des informations ou de mener des attaques contre les réseaux. Tenaces et déterminés, ils sont capables d'employer une grande variété d'outils et de tactiques.