聲稱攻破了美國財政部,但實際上在暗網上發布了從銀行和金融科技提供商Evolve中提取的33TB數據,LockBit的最新數據泄露顯示了金融科技面對網絡攻擊的脆弱性。
Evolve在6月26日在其網站上發布了一則公告,稱數據泄露包括個人可識別信息(PII),包括客戶姓名、社會安全號碼、出生日期和賬戶信息,這對受影響的個人和公司有嚴重影響。
Evolve于7月8日開始通知受影響的各方。金融科技提供商和金融服務機構將這次攻擊追蹤到一封網絡釣魚郵件,其中一名員工無意中點擊了一個惡意的互聯網鏈接。
“我們拒絕支付威脅者要求的贖金,因此,他們泄露了下載的數據,他們還錯誤地將數據來源歸因于美聯儲銀行。”Evolve在其網站上分享的最近更新中說。
這次攻擊立即在金融科技初創公司社區及其主要支持者中引起了震動。Affirm、Airwallex、Alloy、Bond(現為FIS的一部分)、Branch、Dave、EarnIn、Marqeta、Mastercard、Melio、Mercury、PrizePool、Step、Stripe、TabaPay和Visa都是Evolve的客戶。
Affirm通過X(前身為Twitter)向其Affirm信用卡客戶發出網絡安全事件的警告,并提供支持,以防賬戶出現欺詐交易。Mercury報告稱,泄露影響了賬戶號碼、存款余額和企業所有者姓名,對其運營和客戶信任造成了重大影響。此外,泄露導致Evolve的在線銀行服務暫時中斷,導致依賴實時交易處理的客戶受到干擾。
美聯儲在泄露前發現風險漏洞
這次勒索軟件攻擊顯示了一個高風險組織如何將整個金融科技生態系統置于風險之中。美聯儲理事會在泄露前兩周的預見性警告表達了對該銀行與金融科技提供商的眾多合作伙伴關系的擔憂,這些提供商向廣泛的客戶提供銀行產品和服務。2023年進行的檢查發現,Evolve未能為其金融科技合作伙伴關系實施有效的風險管理框架,從而從事不安全和不健全的銀行業務。
美聯儲的執行行動包括要求該銀行加強其風險管理實踐,以解決潛在的風險,包括合規和欺詐風險,通過實施適當的監督和監控這些關系。不幸的是,Affirm未能完全響應并完成美聯儲要求的所有任務,這可能會防止泄露對其眾多金融科技合作伙伴(包括初創公司)的更廣泛影響。
LockBit試圖將混亂轉化為現金
勒索軟件攻擊者試圖在供應鏈中制造混亂,確保他們的攻擊在盡可能廣泛的網絡中產生回響。United Healthcare就是一個典型例子。混亂越大,現金支付越高,因為United Healthcare支付了2200萬美元的比特幣贖金。
LockBit的勒索軟件即服務(RaaS)商業模式需要不斷招募分支機構以推動收入增長,通過在供應鏈中制造混亂贏得街頭信譽是其業務的核心。70%到80%的收入歸于執行攻擊的分支機構,20%到30%的收入歸于像LockBit這樣的運營商。
由10個國家的執法機構組成的國際工作組“Cronos行動”今年早些時候破壞了LockBit的運營。工作組成功摧毀了其基礎設施,并恢復了7000多個加密密鑰。盡管如此,LockBit繼續尋找分支機構并進行網絡攻擊,正如Evolve銀行的泄露所示。國家犯罪局掌握了LockBit運營被破壞的具體情況。
“LockBit 最近放出很多煙霧彈,試圖通過附屬攻擊者重塑其聲譽。我們確實繼續看到像 Evolve Bank & Trust 這樣的新受害者被 LockBit 攻擊,所以他們仍然是一個有效的威脅。盡管如此,我們需要記住,新聞周期和社交媒體傳播速度遠快于真相,”Halcyon 的首席執行官兼聯合創始人 Jon Miller 告訴記者,“有很多例子表明 RaaS 團體在其泄密網站上虛假發布并未被攻破的組織信息,以迫使所謂的受害組織支付贖金,所以最好大家在沒有具體證據顯示確實發生了攻擊之前,避免進一步猜測。”
Miller 建議公司,“即使受害組織支付贖金或決定不支付并通過其他方式(如備份)恢復系統,也不能保證他們被盜的數據是安全的,攻擊者不會僅僅通過威脅泄露數據或在黑市出售數據來提出額外的敲詐要求。在許多情況下,數據外泄對受害組織的影響比實際的勒索軟件負載更大。”
CISO:用數據切穿欺騙
“這個問題驅使我創辦了一家持續進行權限管理和啟發式分析的公司,這是接近成熟安全的唯一途徑。我了解受影響人群的困境,因為我知道這有多難——這就是為什么我們一直在努力。”Reco 的首席執行官兼聯合創始人 Ofer Klein 告訴 記者。擁有可靠的權限管理和啟發式數據至關重要。
LockBit 聲稱攻破美國財政部,實際卻從銀行竊取客戶數據,這是勒索軟件攻擊者常用的欺騙策略,目的是提高他們的街頭信譽,并讓附屬機構繼續使用他們的對抗技術和服務,包括 RaaS。
“這是勒索軟件攻擊者的慣用手法——他們威脅要泄露敏感數據,有時會兌現威脅。這是他們的商業利益。對于企業來說,總會有下一個糟糕的日子。但這并不意味著你必須接受糟糕的結果,”Reco 的 CISO 及 Expanso、Andesite 和 EnkryptAI 的顧問 Merritt Baer 告訴 記者,“通過細粒度和行為數據,我們(CISO)可以在惡行發生之前甚至進行中就察覺到。我們可以在訪問層,從硬件到應用程序,對我們的生態系統進行修剪和管理。”Baer 說。
CrowdStrike 的一項調查發現,96% 的受害者支付贖金后還支付了平均 $792.493 的額外敲詐費,結果發現攻擊者也通過 Telegram 頻道在暗網上分享或出售他們的信息。外國資產控制辦公室也對支付某些勒索軟件攻擊者的公司進行了罰款。
金融科技董事會需要能講零信任的CISO
記者了解到,財富500強公司的董事會繼續投資并優先考慮專門量化風險管理的工作組,作為其網絡彈性和網絡安全戰略的核心部分。企業需要的是能將風險指標轉化為可操作結果的董事會成員。簡而言之,他們需要一個能夠講解零信任的CISO。“我看到越來越多的CISO加入董事會,”CrowdStrike 的聯合創始人兼首席執行官 George Kurtz 在今年早些時候接受記者采訪時說道,“增加安全性應該是一個業務促進因素。它應該增加業務彈性,并幫助保護數字化轉型的生產力提升。” 強大的零信任框架為企業范圍內的網絡彈性和網絡安全提供了必要的基礎。
需要一個具有董事會級別權威的CISO來執行以下任務,使金融科技更加安全。對于像 Evolve 這樣的金融科技公司來說尤其如此,因為一旦發生泄露事件,其業務模式會使數十個合作伙伴面臨風險:
消除技術堆棧中的信任是降低風險和提高彈性的核心。在任何網絡中,信任都是一種責任。必須逐步執行最小權限訪問并替換基于邊界的遺留系統,一個端點或威脅面一個威脅面地進行。“你不能從技術開始,這就是誤解所在。當然,供應商想要銷售技術,所以他們說你需要從我們的技術開始。但這些都不是真的。你從保護面開始,然后再弄清楚,”零信任的創造者和 Illumio 的首席宣傳官 John Kindervag 在最近一次采訪中說道。對實施零信任保持嚴格的紀律需要在董事會中有一位有影響力和權威的資深 CISO。金融科技公司需要在董事會中有提供見解和指導戰略的 CISO。
監控和掃描所有網絡流量是零信任的基本要求。另一個 CISO 需要董事會席位的原因是,網絡遙測數據是任何金融科技業務的生命線。董事會需要實時了解網絡遙測模式的變化如何影響風險概況和概率。一位經驗豐富的 CISO 將能夠分解他們如何管理遙測數據的風險和局限性,并理解為什么監控和掃描所有網絡流量對他們的業務至關重要。
依靠微分段來阻止攻擊者的橫向移動。不僅僅是入侵問題,橫向移動會傳播惡意代碼,摧毀 IT 基礎設施,使零信任成為優先事項。正確實施微分段已經幫助更多的銀行、儲蓄和貸款機構以及金融服務公司通過遏制入侵避免了數十億美元的損失。它還可以阻止勒索軟件攻擊的開始。
全面審核訪問權限并立即刪除僵尸憑證。身份和訪問管理(IAM)和特權訪問管理(PAM)系統中通常會有幾十年前的活躍登錄信息。從承包商到銷售、服務和前雇員,僵尸憑證是攻擊面的一部分,沒人會想到,直到它們被用來進行入侵,并且通常數周內都無法檢測到。保持零信任心態,每個金融科技公司都需要立即刪除過時的身份和登錄信息。
每個企業應用、云數據庫和云平臺都需要將多因素身份驗證(MFA)設為默認。Snowflake 的數據泄露部分是由于將多因素身份驗證設為可選所致。雖然有一系列技術原因導致了這個決定,但這更說明了需要在董事會中有一位經驗豐富的 CISO,能夠解釋這些細微差別,并堅定地將 MFA 設為標準。
結論
金融科技存在網絡安全問題。LockBit 對 Evolve 的勒索軟件攻擊及其對合作網絡造成的風險表明,整個行業需要更多關注金融網絡中零信任的基礎。當美聯儲在勒索攻擊前兩周發現漏洞時,是時候在公司和行業層面重新思考網絡彈性和網絡安全了。金融科技公司需要 CISO 帶來保持安全和發展的彈性和經驗。
