声称攻破了美国财政部,但实际上在暗网上发布了从银行和金融科技提供商Evolve中提取的33TB数据,LockBit的最新数据泄露显示了金融科技面对网络攻击的脆弱性。
Evolve在6月26日在其网站上发布了一则公告,称数据泄露包括个人可识别信息(PII),包括客户姓名、社会安全号码、出生日期和账户信息,这对受影响的个人和公司有严重影响。
Evolve于7月8日开始通知受影响的各方。金融科技提供商和金融服务机构将这次攻击追踪到一封网络钓鱼邮件,其中一名员工无意中点击了一个恶意的互联网链接。
“我们拒绝支付威胁者要求的赎金,因此,他们泄露了下载的数据,他们还错误地将数据来源归因于美联储银行。”Evolve在其网站上分享的最近更新中说。
这次攻击立即在金融科技初创公司社区及其主要支持者中引起了震动。Affirm、Airwallex、Alloy、Bond(现为FIS的一部分)、Branch、Dave、EarnIn、Marqeta、Mastercard、Melio、Mercury、PrizePool、Step、Stripe、TabaPay和Visa都是Evolve的客户。
Affirm通过X(前身为Twitter)向其Affirm信用卡客户发出网络安全事件的警告,并提供支持,以防账户出现欺诈交易。Mercury报告称,泄露影响了账户号码、存款余额和企业所有者姓名,对其运营和客户信任造成了重大影响。此外,泄露导致Evolve的在线银行服务暂时中断,导致依赖实时交易处理的客户受到干扰。
美联储在泄露前发现风险漏洞
这次勒索软件攻击显示了一个高风险组织如何将整个金融科技生态系统置于风险之中。美联储理事会在泄露前两周的预见性警告表达了对该银行与金融科技提供商的众多合作伙伴关系的担忧,这些提供商向广泛的客户提供银行产品和服务。2023年进行的检查发现,Evolve未能为其金融科技合作伙伴关系实施有效的风险管理框架,从而从事不安全和不健全的银行业务。
美联储的执行行动包括要求该银行加强其风险管理实践,以解决潜在的风险,包括合规和欺诈风险,通过实施适当的监督和监控这些关系。不幸的是,Affirm未能完全响应并完成美联储要求的所有任务,这可能会防止泄露对其众多金融科技合作伙伴(包括初创公司)的更广泛影响。
LockBit试图将混乱转化为现金
勒索软件攻击者试图在供应链中制造混乱,确保他们的攻击在尽可能广泛的网络中产生回响。United Healthcare就是一个典型例子。混乱越大,现金支付越高,因为United Healthcare支付了2200万美元的比特币赎金。
LockBit的勒索软件即服务(RaaS)商业模式需要不断招募分支机构以推动收入增长,通过在供应链中制造混乱赢得街头信誉是其业务的核心。70%到80%的收入归于执行攻击的分支机构,20%到30%的收入归于像LockBit这样的运营商。
由10个国家的执法机构组成的国际工作组“Cronos行动”今年早些时候破坏了LockBit的运营。工作组成功摧毁了其基础设施,并恢复了7000多个加密密钥。尽管如此,LockBit继续寻找分支机构并进行网络攻击,正如Evolve银行的泄露所示。国家犯罪局掌握了LockBit运营被破坏的具体情况。
“LockBit 最近放出很多烟雾弹,试图通过附属攻击者重塑其声誉。我们确实继续看到像 Evolve Bank & Trust 这样的新受害者被 LockBit 攻击,所以他们仍然是一个有效的威胁。尽管如此,我们需要记住,新闻周期和社交媒体传播速度远快于真相,”Halcyon 的首席执行官兼联合创始人 Jon Miller 告诉记者,“有很多例子表明 RaaS 团体在其泄密网站上虚假发布并未被攻破的组织信息,以迫使所谓的受害组织支付赎金,所以最好大家在没有具体证据显示确实发生了攻击之前,避免进一步猜测。”
Miller 建议公司,“即使受害组织支付赎金或决定不支付并通过其他方式(如备份)恢复系统,也不能保证他们被盗的数据是安全的,攻击者不会仅仅通过威胁泄露数据或在黑市出售数据来提出额外的敲诈要求。在许多情况下,数据外泄对受害组织的影响比实际的勒索软件负载更大。”
CISO:用数据切穿欺骗
“这个问题驱使我创办了一家持续进行权限管理和启发式分析的公司,这是接近成熟安全的唯一途径。我了解受影响人群的困境,因为我知道这有多难——这就是为什么我们一直在努力。”Reco 的首席执行官兼联合创始人 Ofer Klein 告诉 记者。拥有可靠的权限管理和启发式数据至关重要。
LockBit 声称攻破美国财政部,实际却从银行窃取客户数据,这是勒索软件攻击者常用的欺骗策略,目的是提高他们的街头信誉,并让附属机构继续使用他们的对抗技术和服务,包括 RaaS。
“这是勒索软件攻击者的惯用手法——他们威胁要泄露敏感数据,有时会兑现威胁。这是他们的商业利益。对于企业来说,总会有下一个糟糕的日子。但这并不意味着你必须接受糟糕的结果,”Reco 的 CISO 及 Expanso、Andesite 和 EnkryptAI 的顾问 Merritt Baer 告诉 记者,“通过细粒度和行为数据,我们(CISO)可以在恶行发生之前甚至进行中就察觉到。我们可以在访问层,从硬件到应用程序,对我们的生态系统进行修剪和管理。”Baer 说。
CrowdStrike 的一项调查发现,96% 的受害者支付赎金后还支付了平均 $792.493 的额外敲诈费,结果发现攻击者也通过 Telegram 频道在暗网上分享或出售他们的信息。外国资产控制办公室也对支付某些勒索软件攻击者的公司进行了罚款。
金融科技董事会需要能讲零信任的CISO
记者了解到,财富500强公司的董事会继续投资并优先考虑专门量化风险管理的工作组,作为其网络弹性和网络安全战略的核心部分。企业需要的是能将风险指标转化为可操作结果的董事会成员。简而言之,他们需要一个能够讲解零信任的CISO。“我看到越来越多的CISO加入董事会,”CrowdStrike 的联合创始人兼首席执行官 George Kurtz 在今年早些时候接受记者采访时说道,“增加安全性应该是一个业务促进因素。它应该增加业务弹性,并帮助保护数字化转型的生产力提升。” 强大的零信任框架为企业范围内的网络弹性和网络安全提供了必要的基础。
需要一个具有董事会级别权威的CISO来执行以下任务,使金融科技更加安全。对于像 Evolve 这样的金融科技公司来说尤其如此,因为一旦发生泄露事件,其业务模式会使数十个合作伙伴面临风险:
消除技术堆栈中的信任是降低风险和提高弹性的核心。在任何网络中,信任都是一种责任。必须逐步执行最小权限访问并替换基于边界的遗留系统,一个端点或威胁面一个威胁面地进行。“你不能从技术开始,这就是误解所在。当然,供应商想要销售技术,所以他们说你需要从我们的技术开始。但这些都不是真的。你从保护面开始,然后再弄清楚,”零信任的创造者和 Illumio 的首席宣传官 John Kindervag 在最近一次采访中说道。对实施零信任保持严格的纪律需要在董事会中有一位有影响力和权威的资深 CISO。金融科技公司需要在董事会中有提供见解和指导战略的 CISO。
监控和扫描所有网络流量是零信任的基本要求。另一个 CISO 需要董事会席位的原因是,网络遥测数据是任何金融科技业务的生命线。董事会需要实时了解网络遥测模式的变化如何影响风险概况和概率。一位经验丰富的 CISO 将能够分解他们如何管理遥测数据的风险和局限性,并理解为什么监控和扫描所有网络流量对他们的业务至关重要。
依靠微分段来阻止攻击者的横向移动。不仅仅是入侵问题,横向移动会传播恶意代码,摧毁 IT 基础设施,使零信任成为优先事项。正确实施微分段已经帮助更多的银行、储蓄和贷款机构以及金融服务公司通过遏制入侵避免了数十亿美元的损失。它还可以阻止勒索软件攻击的开始。
全面审核访问权限并立即删除僵尸凭证。身份和访问管理(IAM)和特权访问管理(PAM)系统中通常会有几十年前的活跃登录信息。从承包商到销售、服务和前雇员,僵尸凭证是攻击面的一部分,没人会想到,直到它们被用来进行入侵,并且通常数周内都无法检测到。保持零信任心态,每个金融科技公司都需要立即删除过时的身份和登录信息。
每个企业应用、云数据库和云平台都需要将多因素身份验证(MFA)设为默认。Snowflake 的数据泄露部分是由于将多因素身份验证设为可选所致。虽然有一系列技术原因导致了这个决定,但这更说明了需要在董事会中有一位经验丰富的 CISO,能够解释这些细微差别,并坚定地将 MFA 设为标准。
结论
金融科技存在网络安全问题。LockBit 对 Evolve 的勒索软件攻击及其对合作网络造成的风险表明,整个行业需要更多关注金融网络中零信任的基础。当美联储在勒索攻击前两周发现漏洞时,是时候在公司和行业层面重新思考网络弹性和网络安全了。金融科技公司需要 CISO 带来保持安全和发展的弹性和经验。
