Flashpoint analistleri, Nisan 2024 ve Nisan 2025 arasında finans sektörünün siber tehdit aktörleri için bir ana hedef olarak ortaya çıktığını, 406’nın kamuoyunda açıklanan kurbanların sadece fidye yazılımı saldırılarına avlandığını bildirdi.
Bu rakam, dönem boyunca tüm fidye yazılımı kurban listelerinin yaklaşık yüzde yedisini açıklayarak sektörün bu tür saldırılara karşı savunmasızlığının altını çizmektedir.
Bununla birlikte, fidye yazılımı, sofistike gelişmiş kalıcı tehdit (APT) grupları, üçüncü taraf ihlalleri, başlangıç erişim kimlik bilgisi ticareti, içeriden gelen tehditler ve gelişen derin peme sahtekarlığı içeren çok yönlü bir tehdit manzarasında buzdağının ucu.
.png
)
Sektörün cazibesi, yüksek değerli finansal işlemlerden gizli müşteri bilgilerine ve diğer endüstrilerle derin ara bağlantısına kadar geniş hassas verilerin yönetiminde yatmaktadır ve bu da basamaklı ihlaller için bir geçit haline getirir.
Rapora göre, Flashpoint’in analizi bu siber saldırıya hükmeden birkaç kilit oyuncuyu vurgulamaktadır.
Şubat 2024’ten bu yana hizmet olarak nispeten yeni bir fidye yazılımı (RAAS) grubu olan Ransomhub, 38 finans sektörü kurbanını birincil taktik olarak kimlik avı ve kırılganlık sömürüsünden kullandı.
Önde gelen tehdit aktörleri ve taktikleri
Mart 2023’ten bu yana aktif olan ve potansiyel olarak geçersiz Conti grubuna bağlı olan Akira, çift gasp şemaları için tehlikeye atılmış kimlik bilgileri, VPN kusurları ve uzak masaüstü protokolü (RDP) erişimini kullanarak 34 kuruluşu hedefledi.
2019’dan beri kıdemli bir Raas grubu olan Lockbit, 29 kurban bildirdi ve Haziran 2024’te ABD Federal Rezervini ihlal etme iddiasıyla, daha sonra Evolve Bank & Trust’tan verilerle bağlantılı.
Bu arada, finansal olarak motive olmuş bir Doğu Avrupa grubu olan FIN7, ödeme kartı verilerini ve Swift gibi bankalararası sistemleri hedeflemeye devam ediyor ve 2015 yılından bu yana kimlik avı ve sosyal mühendislik yoluyla 1 milyar doların üzerinde gelir elde ediyor.
2022’de ortaya çıkan dağınık örümcek, SMS kimlik avı ve sahte Okta oturum açma sayfaları aracılığıyla hızlı sömürüye odaklanırken, Kuzey Kore destekli Lazarus Group, mızrak avı ve kötü amaçlı yazılım yüklü görüntüler yoluyla finansal kazanç ve casusluk sürdürüyor.
Bu aktörler, bir dizi saldırı vektöründen yararlanır ve Flashpoint, kimlik avı ve RDP istismarları aracılığıyla kazanılan ağ giriş noktalarını satan ilk erişim brokerleri (IABS) tarafından yönlendirilen yasadışı forumlarda finans sektörü erişim listelerinde 6.406 gönderi not eder.
Finans sektörünün maruziyeti, klop fidye yazılımı çetesinin Aralık 2024’te hassas verileri ve kimlik bilgilerini ortaya çıkaran Moveit güvenlik açığından yararlanmasıyla örneklenen üçüncü taraf uzlaşmalarla daha da güçlendirilmiştir.
İçeriden tehditler de artıyor ve kötü niyetli aktörler, doğrudan sistem erişimi elde etmek için Telegram gibi platformlar aracılığıyla içeriden öğrenenleri işe alıyor.
Karmaşıklığa ek olarak, sahtekarlık ile ilgili telgraf kanallarına 1.238 görevde, geleneksel güvenliği görsel-işitsel sahtekarlarla atlayarak büyüyen bir zorluğu sunmaktadır.
Fidye yazılımı, APT faaliyetleri ve yeni sahtekarlık taktiklerinin bu yakınsaması, bu kalıcı ve gelişen tehditleri azaltmak için finansal kurumlardaki sağlam siber güvenlik çerçevelerine acil bir ihtiyaç olduğunu işaret eder, çünkü tek bir ihlal yıkıcı sonuçları olan birbirine bağlı endüstriler arasında dalgalanabilir.
SOC ekibini kurmak mı? -SOC ekibiniz için ücretsiz Ultimate SIEM Fiyatlandırma Kılavuzu’nu (PDF) indirin -> Ücretsiz İndir