Az Evolve Bank & Trust friss bejelentése szerint május végén több mint 7,6 millió ügyfél adatait lopták el a LockBit támadása során. A fintech szektor felbolydult, hiszen olyan nemzetközi cégek, mint a Wise és az Affirm, megerősítették, hogy őket is érintette az Evolve Bankot ért támadás.
Az eset jelentőségéről és az esetleges kiberbiztonsági tanulságokról cikkünkben Lengré Tamást, az ASC Vezetői és Informatikai Tanácsadó Kft. ügyvezetőjét, a Budapesti Értéktőzsde egykori IT-igazgatóját kérdeztük.
Az Evolve Bank & Trust 2024 május végén egy zsarolóvírus támadást szenvedett el, amelyet a LockBit nevű bűnszervezet hajtott végre.
A támadók hozzáfértek és letöltöttek ügyféladatokat az Evolve adatbázisából és fájlmegosztó rendszeréből.
A Maine állam főügyészéhez benyújtott jelentés szerint 7 640 112 ügyfél adatait lopták el, beleértve társadalombiztosítási számokat, bankszámlaszámokat és kapcsolattartási adatokat.
Az Evolve hivatalos közleménye szerint a bank gyorsan reagált az incidensre, leállította a támadást és erősítette a biztonsági intézkedéseit.
Nézzünk a motorháztető alá!
2024 májusának végén az Evolve Bank & Trust észlelte, hogy néhány rendszere nem működik megfelelően. Kezdetben hardverhibának tűnt, de később kiderült, hogy jogosulatlan tevékenységről van szó.
Miután kibervédelmi szakértőket vontak be, hamar kiderült, hogy jogosulatlan tevékenység történt. Az Evolve azonnal elindította az incidensre válaszlépéseit és megállította a támadást.
Az Evolve közleménye szerint május 31. óta nem történt újabb jogosulatlan tevékenység, illetve külső szakértőket bíztak meg a történtek kivizsgálására és az adatok helyreállítására.
Bár a betörés dátuma ismert, az Evolve nyilatkozata alapján jelenleg nem egyértelmű, hogy pontosan mennyi ideig volt védtelen a Bank rendszere a kiberbűnözőkkel szemben.
Lengré Tamás az ASC Vezetői és Informatikai Tanácsadó Kft. ügyvezetője szerint bevett protokoll az ilyen esetek után, hogy a vállalatok ilyen esetben „csak” a támadás napját, esetleg a napszakot hozzák nyilvánosságra.
,,Megszokott, hogy ennél többet nem kommunikálnak. A helyreállítási időt sem szokták meghatározni, ahogy az sem szokott nyilvános lenni, hogy pontosan milyen szervereket, rendszereket érintett a támadás. Ezek az információk a hivatalos szervek felé történő bejelentésben kell, hogy szerepeljenek.”
– mondta Lengré Tamás.
Fontos kiemelni, hogy az eljárás nemcsak kommunikációs szempontból fontos, hanem az „áldozat” cég biztonsága is ezt indokolja.
Fotón: Lengré Tamás az ASC Vezetői és Informatikai Tanácsadó Kft. ügyvezetője
Milyen hatással van az ilyen adatok kiszivárgása az érintett ügyfelekre?
Az Evolve nyilatkozata alapján az ellopott adatok között szerepelnek nevek, társadalombiztosítási számok, születési dátumok, számlainformációk és személyazonosító okmányok.
Azonban ezek az adatszivárgások nem csak az Evolve közvetlen ügyfeleit, hanem az open banking partnereket is érinti.
,,Ha csak személyes adatok szivárognak ki (pl.: név, cím és TB szám), a támadók csak annyit tudnak következtetni, hogy kik a bank ügyfelei. A felhasználónév, társadalombiztosítási azonosító és jelszó azonban értékes kiindulási adat lehet további támadásokhoz.”
– mondta Lengré Tamás.
Ha már tranzakciós adatok is kiszivárognak, az eléggé nagy probléma, hiszen akkor a pénzügyi tranzakcióink alapján már nyitott könyv leszünk a támadók számára – ebben az esetben azonban a jelenlegi információk alapján erről nincs szó.
,,Bérelj zsarolóvírust szolgáltatásként!”
A jelenlegi bizonyítékok alapján a támadást elkövető bűnszervezet a LockBit kiberbűnözői csoport.
A LockBit ransomware-as-a-service (RaaS) szolgáltatást nyújt, tehát az alá tartozó leánycsoportok hajtják végre a piszkos munkát; kiszemelik a célpontokat és begyűjtik a kifizetéseket, miközben a szolgáltató a rendszerek zárolására bevetett kártevőt nyújtja számukra, a begyűjtött váltságdíjból pedig mind részesedést kapnak.
,,Gyakorlatilag „bérelj zsarolóvírust szolgáltatásként” elv alapján működnek ezek a bűnözői körök.”
– magyarázta Lengré Tamás.
Első lépésben általában egy már meglévő zsarolóvírus kódot fejlesztenek tovább, de a komolyabb bűnözői csapatnak saját fejlesztői vannak, akik újabb és újabb zsarolóvírust fejlesztenek.
Nyilván itt versenyfutás van a vírusirtó, tűzfalgyártó és egyéb biztonsági eszközöket gyártó szervezetek és ezen bűnözői kör között, hiszen egy zsarolóvírust körülbelül egyszer lehet elsütni, utána, ha lehet változtatni kell a kódon és a működésen is, hogy a védelmi eszközöket meg tudja kerülni.
,,Ha megvan a jól megírt zsarolóvírus, el lehet kezdeni a „reklámozását a szolgáltatásnak”. Ezt általában a dark weben teszik, és csak pénztárca szab határt a lehetőségeknek.”
– mondta Lengré Tamás.
Amikor másokat is magaddal rántasz esés közben…
A nemzetközi pénzátutalási szolgáltató, a Wise, valamint a BNPL szolgáltatást nyújtó Affirm is megerősítette az amerikai Értékpapír- és Tőzsdefelügyelet (SEC) felé benyújtott jelentéseiben, hogy jelentős mértékben érintette őket az Evolve támadása.
Ez az incidens rámutat a zsarolóvírus-támadások egyre növekvő veszélyére, és hangsúlyozza az erős kiberbiztonsági intézkedések fontosságát a banki és fintech iparágban egyaránt.
A digitális infrastruktúrára támaszkodó fintech szektornak prioritásként kell kezelnie a kiberbiztonságot az érzékeny adatok védelme és az ügyfelek bizalmának megőrzése érdekében.
Ez az incidens jól példázza, hogy a fintech cégek és a hagyományos bankok együttműködése kiberbiztonsági kockázattal is járhat, ezért szigorú protokollokat igényel a pénzügyi tranzakciók integritásának biztosítása.
Az Evolve Bank elleni támadás jól példázza az iparág előtt álló széleskörű kihívásokat, és rávilágít a folyamatos éberség és a biztonsági keretrendszer kritikus fontosságára. Az ASC ügyvezetője szerint azonban ez az incidens hosszútávon nem fogja akadályozni az inkumbens és fintech szereplők közötti együttműködést.
,,A fintech projektek, ha csatlakoznak is valamilyen módon a banki rendszerekhez, a PSD2 irányelv elég részletesen meghatározza a kapcsolódás információbiztonsági kérdéskörét, így ebben az esetben egyik félnek sincs félnivalója.”
– mondta az ASC ügyvezetője.
Fizetni vagy nem fizetni? Ez itt a kérdés
Nincs bizonyíték arra, hogy a támadók hozzáfértek volna az ügyfelek pénzéhez, de úgy tűnik, hogy a februári és májusi időszakokban hozzáfértek és letöltöttek ügyféladatokat adatbázisokból és fájlmegosztásból. A támadók néhány adatot titkosítottak, de az Evolve biztonsági másolatainak köszönhetően korlátozott adatvesztést tapasztaltak.
Az Evolve képviselői nem voltak hajlandóak kifizetni a váltságdíjat – ennek eredményeként a kiberbűnözők kiszivárogtatták a letöltött adatokat.
Lengré Tamás tapasztalata szerint nem meglepő, hogy az Evolve nem vállalta a váltságdíj kifizetését. Ökölszabály, hogy bűnözőknek nem fizetünk váltságdíjat, több okból sem. Az etikai érvek mellett a legfontosabb indok, hogy nincs semmilyen garancia arra, hogy a váltságdíj kifizetése után valóban megkapjuk a feloldó kulcsot.
Fontos kérdés, hogy egyáltalán vissza lehet-e állítani a titkosított állományokat, ugyanis vannak olyan zsarolóvírus típusok, amelyek törlik a titkosításhoz használt kulcspárt, és a zsarolóvírus fejlesztője sem fogja tudni visszaállítani az eredeti állapotot.
,,A kockázatot nem a váltságdíj kifizetése/nem kifizetése jelenti, hanem az, ha nem megfelelően átgondolt a mentési rendünk, és egy ilyen támadás után nem tudunk – akár elfogadható adatvesztéssel is – a meghatározott állásidőn belül visszaállni a normál működésre.”
– hívta fel a figyelmet az ASC ügyvezetője.
A munkatárs, mint örök gyenge láncszem a kiberbiztonság világában
A jelenlegi bizonyítékok szerint a támadás egy zsarolóvírus által történt. A bűnözők akkor fértek hozzá rendszerekhez, amikor egy alkalmazott véletlenül egy rosszindulatú linkre kattintott.
Az ASC ügyvezetője szerint ez az eset jól példázza, hogy milyen fontos azon munkatársak és a harmadik feles partnerek (pl. azon külső vállalkozók munkatársai) kiberbiztonsági oktatása, akik hozzáférést kapnak a vállalati informatikai környezethez (vagy egy részéhez).
Nem véletlenül írja elő minden szabvány (pl. ISO 27001, NIST 800.53) vagy akár Európai Uniós szinten a NIS2 az éves rendszerességgel megtartott, lehetőleg szerepkörök szerint különböző tartalmú információbiztonsági oktatások megtartását.
,,Ezek az oktatások akkor igazán hasznosak, ha utána vannak „visszamérések”, tudatosságot mérő tesztek, (pl.: e-learning felületen teszt kérdésekre válaszolnak a munkatársak), de nagyon jó a tervezett email phising kampányok, vagy social engineering tesztek is, amelyek éles helyzeteket szimulálnak, és elemzik a munkatársak viselkedését, reakcióit, a végén pedig részletes visszacsatolást és értékelést kapnak.”
– mondta Lengré Tamás.
Ugrott az ügyfélbizalom?
Egy ilyen adatszivárgás esetén joggal merülhetnek fel kétségek az ügyfelekben, de az ASC ügyvezetője szerint, ha a kommunikáció megfelelően nyílt egy ilyen támadás után, akkor nem fog az ügyfelek számottevő hányadában felmerülni a bankváltás gondolata.
,, Mit tudunk a másik bankról? Annyit, hogy tudomásunk szerint eddig még nem érte ilyen támadás, de ez nem jelenti azt, hogy akár már holnap ne válhatna a következő áldozattá.”
– mondta Lengré Tamás.
Az ASC ügyvezetője azonban kiemelte, hogy szerencsére ritkán szoktak banki rendszereket sikeresen megtámadni. Általában egy ilyen zsarolóvírusos támadás sikeréhez több tényező együttes fennállása szükséges.
[Forrás: Evolve, The Register] | Címlapfotó: stock.adobe.com | Licenc: FinTech Group Kft.