O setor bancário é um dos principais alvos dos cibercriminosos, devido ao elevado potencial para obter grandes lucros. Durante o ano de 2023, verificou-se um aumento de 53% nos ciberataques de ransomware ao setor bancário, em comparação com 2022. São dados revelados pela S21sec, uma das principais fornecedoras de serviços de cibersegurança na Europa, que analisa a evolução dos ciberataques a nível global.
Devido à digitalização massiva que se tem verificado no setor bancário nos últimos anos, os atacantes adaptaram as suas técnicas ao sistema bancário online, causando, a nível global, um total de 4.144 ataques de ransomware ao setor financeiro em 2023, sendo que 2.930 ocorreram durante o segundo semestre do ano. Esta nova abordagem dos cibercriminosos causou também uma diminuição de 40% nos ataques sobre os multibancos nos últimos anos.
Entre os ataques mais utilizados contra o setor financeiro, a S21sec destaca a atividade de malware, um tipo de software malicioso projetado para danificar ou explorar dispositivos, redes ou serviços. No caso do setor financeiro, estes ataques centram-se maioritariamente na recolha de informações pessoais e bancárias, que podem permitir o roubo de fundos de contas bancárias ou de carteiras de criptomoedas. Os cibercriminosos utilizam diversas técnicas para obter estas informações, como infostealers, injeções web, malspam ou emails e sms de phishing.
Hugo Nunes, responsável da equipa de Threat Intelligence da S21Sec, destaca a importância do fator humano neste tipo de ataques, “na maioria dos casos, são as pessoas que abrem o link malicioso, permitindo assim que o atacante invada o seu dispositivo e inicie a operação criminosa. É muito importante que haja uma consciência para a importância da cibersegurança, de forma a garantir a proteção dos equipamentos digitais e finanças das pessoas, e o primeiro passo é nunca aceder a um URL suspeito ou divulgar informação bancária sem confirmar com o seu banco”.
Danabot, ToinToin e JanelaRAT são os malwares ativos mais perigosos para o setor bancário
A empresa destaca a atividade de um dos malwares mais ativos nos últimos seis meses de 2023, conhecido com “Danabot”. Este tipo de ataques destaca-se pela utilização de injeções web, uma técnica que permite ao malware modificar ou injetar código malicioso no conteúdo dos websites visitados pelos utilizadores, sem o seu conhecimento ou consentimento. O “Danabot” é também utilizado frequentemente para diversas atividades, como ataques distribuídos de negação de serviço (DDoS), propagação de spam, roubo de passwords, roubo de criptomoedas e como um bot versátil para diversos outros propósitos.
A S21sec destaca também a presença neste ecossistema do malware “JanelaRAT”, um tipo de malware que tem como principal objetivo permitir o acesso remoto ao equipamento infetado mas que permite também o roubo de credenciais de acesso a bancos e a carteiras de criptomoedas. Este malware cria formulários falsos quando deteta o acesso a um website bancário ou cripto, capturando os cliques do rato, as teclas digitadas, capturas de ecrã e recolhe informações do sistema para potenciar os ciberataques. O método de distribuição deste malware é principalmente através do envio de emails direcionados às vítimas (spear phishing). Estes e-mails contém um link que, que uma vez visitado, mostra ao utilizador uma página falsa, descarregando automaticamente a primeira fase do malware e garantindo a sua persistência no equipamento, sendo posteriormente ativadas as potencialidades de contacto para os servidores maliciosos e o roubo da informação bancária.
Outro dos ataques via malware mais frequentes tem sido através do “ToinToin”, que faz parte de uma campanha sofisticada que consegue distribuir malware e infetar os equipamentos através de diversas etapas de execução. A distribuição deste malware é também maioritariamente realizada através de emails que contêm um URL malicioso, e o payload final tem como objetivo estabelecer uma conexão para o atacante e iniciar o roubo de informações do equipamento afetado.
Face à crescente ameaça dos ataques de ransomware ao setor financeiro, é imperativo que as organizações adotem uma postura proativa em relação à cibersegurança. Identificar os sinais precoces de atividades suspeita, investir em sistemas de deteção e prevenção eficazes e seguir protocolos de resposta a incidentes bem definidos são passos essenciais para mitigar o risco de um ataque e minimizar o seu impacto. Além disso, a consciencialização dos funcionários sobre boas práticas de cibersegurança e a implementação de medidas de proteção robustas, como, por exemplo, manter os sistemas atualizados, utilizar a autenticação de múltiplos fatores e realizar backups regulares, são componentes cruciais de uma estratégia de defesa abrangente. Ao compreender as motivações dos atacantes e estar preparadas para enfrentar ameaças multifacetadas, as organizações podem fortalecer a sua resiliência e a capacidade de resposta face ao desafio constante representado pelo ransomware.
