Aviso sobre ameaças à segurança cibernética: ataques recentes direcionados ao setor indiano de BFSI

Categoria: Inteligência do adversário

Indústria: BFSI

Motivação:Financeiro

Região: Índia

Fonte*:

B - Normalmente confiável

2 - Possivelmente verdade

‍

Sumário executivo

Este é um relatório contínuo e continuaremos atualizando à medida que tivermos mais informações.

Este comunicado destaca ataques recentes a bancos indianos, com foco em dois vetores principais de ataque: tensões geopolíticas e ladrões de credenciais/aquisições de contas de mídia social.

No último ano, observamos que grupos hacktivistas têm as seguintes técnicas que geralmente usam:

1. Ataques de DDOS - Eles usam ferramentas e scripts gratuitos provenientes do github para atacar seus alvos
2. Credenciais violadas - Grupos de hacktvistas perceberam que as credenciais disponíveis gratuitamente lhes dão muito mais visibilidade. Observamos que os grupos também utilizaram as credenciais dos clientes para chamar a atenção.
3. .git/.svn/.env - Alguns agentes de ameaças começaram a escanear esses endpoints mencionados acima para obter variáveis de ambiente ou repositório de código que foi enviado ao ambiente de produção por engano

Ataques geopolíticos

O conflito em andamento entre Israel e Palestina alimentou as atividades de grupos hacktivistas, que têm como alvo bancos indianos devido à percepção de posições políticas. Os ataques se concentraram principalmente em ataques distribuídos de negação de serviço (DDoS) com o objetivo de interromper serviços e sites bancários on-line.

‍

‍

‍

Cronograma de ataques a bancos/seguradoras indianos:

• 21 de fevereiro: A Lulsezsec Indonesia afirma começar a atacar bancos indianos.
• 6 de junho: Um grupo hacktivista afirma ter comprometido um grande banco indiano, no entanto, a alegação foi posteriormente desmascarada, pois o alvo era um serviço não relacionado.
• 7 de junho: O grupo RADNET alega um ataque DDoS contra um banco indiano

‍

‍

‍

• 11 de junho: Vários bancos sofrem ataques de DDoS do mesmo grupo hacktivista RADNET.
• 21 de junho: A Rippersec visa reivindicações de atacar um banco indiano com um ataque DDoS.
• 22 de junho: “Infamous” atacou uma empresa de seguros com sede na Índia e divulgou dados de PII de aproximadamente 150 mil clientes

‍

• 23 de junho: Um serviço de gerenciamento de assinaturas/aplicativos da Indian Wallet foi violado por um TA chamado “billy100”. ~110 mil detalhes de PII do cliente foram descartados

• 23 de junho: Sulawesi Indonesia realiza um ataque DDoS contra outro banco indiano.

Captura de tela de grupos hacktivistas que atacam bancos indianos

‍

Por favor, observe - Grupos hacktivistas são famosos por alegar que criam o caos. No momento em que escrevo este relatório, a maioria dessas alegações foi desmascarada e não houve nenhum aumento percebido pelos referidos bancos/bancos alvo. Isso acontece por causa da atenção que eles recebem na busca de fazer essas afirmações elevadas.

‍

Recomendações:

• Mitigação de DDoS: Invista em serviços de proteção contra DDoS e implemente estratégias eficazes de mitigação para minimizar o impacto dos ataques. Isso inclui:
• Proteção contra DDoS baseada em nuvem: Utilize soluções baseadas em nuvem para distribuir tráfego e absorver ataques.
• Filtragem de tráfego: Implemente firewalls e outras medidas de segurança para filtrar o tráfego malicioso e impedir que ele alcance servidores críticos.
• Limitação de taxa: Estabeleça limites para o número de solicitações permitidas de endereços IP individuais ou locais específicos para evitar tráfego excessivo.
• Otimização de rede: Otimize a infraestrutura de rede para obter desempenho e resiliência, garantindo uma rápida recuperação de ataques de DDoS.

‍

Ladrões de credenciais e aquisições de mídias sociais

Nas últimas semanas, houve um aumento nos ataques em que hackers sequestram contas de mídia social dos principais bancos indianos, principalmente do Twitter, e as usam para promover fraudes com criptomoedas. Os hackers empregam várias técnicas para adquirir essas contas, incluindo:

‍

‍

• Ladrões de credenciais: Software malicioso que rouba nomes de usuário, senhas e outros dados confidenciais.
• Fóruns clandestinos: Mercados on-line onde credenciais de contas roubadas são compradas e vendidas.

‍

‍

‍

Depois que o controle é obtido, as contas comprometidas espalham links para sites fraudulentos de criptografia e “drenadores de criptomoedas”, ferramentas maliciosas projetadas para roubar criptomoedas de usuários desavisados. Os golpes geralmente aproveitam a popularidade de Elon Musk e de outras figuras proeminentes para ganhar confiança.

‍

‍

‍

Recomendações para bancos:

‍

• Segurança aprimorada: Implemente medidas de segurança robustas para proteger plataformas bancárias on-line e contas de mídia social contra ataques de DDoS e roubo de credenciais. Isso inclui autenticação multifator (MFA), políticas de senhas fortes e auditorias de segurança regulares.
• Segurança nas redes sociais: IImplemente protocolos de autenticação fortes e monitore contas de mídia social em busca de atividades suspeitas. Considere usar ferramentas de gerenciamento de mídias sociais para impedir o acesso não autorizado.
• Conscientização pública: Informe os clientes sobre os riscos de fraudes com criptomoedas e como identificar sites falsos e links maliciosos.

‍

Recomendações para usuários:

‍

• Seja cauteloso: Fique atento a links suspeitos e mensagens não solicitadas, especialmente nas redes sociais.
• Verifique as informações: Sempre verifique as informações antes de clicar em qualquer link, especialmente quando se trata de transações financeiras ou investimentos em criptomoedas.
• Proteja suas contas: Use senhas fortes e exclusivas para todas as contas on-line e ative a MFA quando disponível.

‍

Medidas aprimoradas de segurança cibernética para fortalecer as defesas organizacionais

• Realize verificações abrangentes de vírus e malware em todos os sistemas de informação do ecossistema e garanta que eles sejam atualizados com os patches mais recentes após os testes apropriados.
• Estabeleça as defesas necessárias contra ataques de DDoS, incluindo o investimento em serviços de proteção contra DDoS baseados na nuvem e a implementação de medidas de filtragem de tráfego.
• Implemente medidas rigorosas de controle de acesso para restringir e monitorar o acesso a sistemas críticos.
• Mantenha o monitoramento contínuo das atividades de rede e dos registros do servidor para identificar e resolver rapidamente atividades suspeitas e maliciosas na rede da organização.
• Desative serviços vulneráveis como Remote Desktop Protocol (RDP) e Server Message Block (SMB) por padrão em todos os sistemas críticos. O acesso remoto às redes que hospedam infraestruturas críticas de pagamento também deve ser desativado por padrão, com acesso restrito concedido com base na necessidade de conhecimento e monitoramento adequado. As atividades de login remoto devem ser restritas e monitoradas de perto para possíveis acessos não autorizados, sempre que permitido.

‍

Referências

• *Fonte de inteligência e confiabilidade da informação - Wikipedia
• ^#Protocolo de semáforo - Wikipedia

‍