Il Laboratorio di prova (LAP): quando la compliance normativa crea valore strategico per l’azienda

Il settore finanziario fra cybercrime, spionaggio e la minaccia ibrida connessa ai conflitti in corso

 Vedi tutte
Cybersecurity

Il settore finanziario fra cybercrime, spionaggio e la minaccia ibrida connessa ai conflitti in corso

Threat Discovery Telsy TS WAY Cyber Threat Intelligence

Threat Discovery è uno spazio editoriale dedicato all’approfondimento in ambito cyber threat intelligence a livello globale.

Le informazioni riportate sono l’esito del lavoro di raccolta e analisi svolto dagli specialisti del team Theat Intelligence & Response di Telsy per la piattaforma TS-Intelligence.

 

Il Report ENISA sulla minaccia al settore finanziario

Con l’introduzione nella normativa europea del regolamento DORA, dedicato alla resilienza operativa digitale del settore finanziario, gli stakeholders sono tenuti ad ottemperare ad obblighi più stringenti in materia di sicurezza, gestione degli incidenti e continuità operativa.

Secondo i dati presentati quest’anno nell’ENISA Threat Landscape: Finance Sector – relativi al periodo gennaio 2023-giugno 2024 – la minaccia principale in Europa sono stati gli attacchi DDoS di matrice hacktivista (58%); seguono i data breach e leak. La principale tattica di attacco è stata il social engineering, soprattutto nelle forme di phishing, smishing e vishing. Gli attacchi ransomware hanno colpito principalmente i fornitori di servizi (29%) e le organizzazioni assicurative (17%), con impatti che includono perdite finanziarie (38%), esposizione dei dati (35%) e interruzioni operative (20%).

Gli attacchi non-ransomware si sono basati soprattutto su trojan e spyware. Le frodi hanno rappresentato il 6% degli incidenti complessivi, e hanno colpito principalmente i privati (40%) e gli istituti di credito (35%).

 

Campagne state-sponsored “tattiche” e “strategiche”

Oltre a fronteggiare offensive di matrice criminale, le istituzioni e gli operatori del settore finanziario devono tener conto con sempre maggiore attenzione dei pericoli dovuti alle campagne state-sponsored.

Negli ultimi anni, la Corea del Nord ha progettato vaste ed efficaci operazioni per l’autofinanziamento. Il mondo delle criptovalute ne è stato il principale target, fino all’eclatante colpo messo a segno da Lazarus Group contro l’exchange Bybit. La sottrazione di un miliardo e mezzo di dollari in Ethereum è stata frutto di una brillante combinazione fra tecniche di social engineering e compromissione della supply chain tecnologica.

Inoltre, vanno considerati i rischi potenziali derivanti dal cyberspionaggio della Cina, che mira a incrementare il predominio commerciale globale, e quelli correlati ai due principali teatri di guerra attivi in questo momento – Ucraina e Medio Oriente. Se, nel caso citato, Pyongyang si è distinta per la scaltrezza tattica e gli ingenti proventi finanziari, le campagne orchestrate da Cina, Russia, Ucraina, Israele ed Iran sono dei veri e propri concentrati di intelligence, strategia psicologica, finalità ibride.

 

La Cina spiava il Dipartimento del Tesoro americano

china ts Telsy

A fine dicembre 2024, Il Dipartimento del Tesoro USA è stato coinvolto in una campagna di spionaggio basata sullo sfruttamento di una vulnerabilità del software BeyondTrust. L’offensiva, attribuita al gruppo cinese Silk Typhoon (Hafnium), ha impattato l’Office of Foreign Assets Control (OFAC), l’Ufficio del Segretario del Tesoro e, presumibilmente, anche l’Office of Financial Research e la Committee on Foreign Investments in the United States (CFIUS). L’attribuzione è avvenuta nelle stesse ore in cui l’Amministrazione Biden, giunta alla scadenza del mandato, emanava un ordine esecutivo volto a rafforzare la sicurezza informatica degli USA. L’ipotesi formulata dagli analisti è che l’attaccante volesse raccogliere informazioni sugli individui e le organizzazioni cinesi passibili di sanzioni da parte degli USA.

 

Israele colpisce una banca e un exchange iraniani

isravsira ts Telsy

Tra il 17 e il 18 giugno 2025, il gruppo Predatory Sparrow ha rivendicato sui propri profili X e Telegram offensive ai danni di Bank Sepah, legata al Corpo delle Guardie Rivoluzionarie Islamiche (IRGC) e all’esercito, e dell’exchange di criptovalute Nobitex. L’operazione si presenta come un atto di sabotaggio tout court. Gli hacktivisti, che si ritengono molto vicini al Governo di Tel Aviv, accusano Bank Sepah e Nobitex di aver contribuito all’elusione delle sanzioni internazionali e di aver favorito il finanziamento del terrorismo e del programma militare nucleare.

 

I DDoS filorussi e gli attacchi incrociati fra Mosca e Kiev

La guerra in Ucraina si è frequentemente concretizzata in minacce contro USA e Paesi NATO. Ad essa si deve la maggior parte di quel 55% di attacchi DDoS hacktivisti rilevati dall’ENISA. Ad esempio, in una delle frequenti ondate di offensive rivendicate dai collettivi filorussi contro l’Italia, risalente a febbraio 2024, sono stati impattati decine di target finanziari.

Nel corso di un paio di settimane sono state pubblicate sui canali Telegram di collettivi come NoName057(16), People Cyber Army, 22C e CyberDragon liste di target che comprendevano i portali di Guardia di Finanza, Agenzia delle Entrate, Fatturazione Elettronica PA, Carta d’Identità Elettronica, CONSOB, alcune banche fra cui Banca d’Italia, ANAC, Consiglio Nazionale dell’Economia e del Lavoro e Ministero degli affari esteri e della cooperazione internazionale.

ruvsukr ts Telsy

Dall’avvio dell’operazione militare speciale, Mosca e Kiev hanno colpito più volte le infrastrutture finanziarie nemiche con l’intento di minarne l’operatività economica e gestionale interna.

A dicembre 2023, un vasto attacco con fini distruttivi ha impattato l’operatore di telefonia Kyivstar e, in seconda battuta, PrivatBank, la più grande banca statale ucraina. La funzionalità dei terminali POS, bancomat e TSO, basati su SIM Kyivstar, è stata temporaneamente compromessa. Il gruppo hacktivista KillNet e l’avversario Solntsepek, presumibilmente associato a Sandworm, hanno dichiarato, indipendentemente l’uno dall’altro, di essere gli autori della compromissione. Solntsepek, in particolare, ha affermato di aver distrutto più di 10.000 computer e 4.000 server, inclusi i sistemi aziendali di cloud storage e backup.

A febbraio 2025, gli hacktivisti dell’Ukrainian Cyber Alliance hanno rivendicato un’azione contro CarMoney, società di microfinanza russa che sarebbe collegata alla ex moglie del Presidente Putin. Gli attaccanti avrebbero distrutto l’intera infrastruttura ed esfiltrato diversi TB di dati, comprese informazioni sul 16° Centro dell’FSB, associato all’APT Energetic Bear. Nelle stesse settimane, il Centro di coordinamento nazionale per gli incidenti informatici dell’FSB ha segnalato alle organizzazioni russe del settore creditizio e finanziario una violazione subita da LANIT, il maggiore system integrator del Paese, fornitore di servizi IT anche ad entità di spicco come il Ministero della Difesa e la società tecnologica Rostec.

 

TS-Intelligence

TS-Intelligence_Telsy_Platform-2Questo report è stato realizzato grazie all’ausilio di TS-Intelligence, una soluzione proprietaria, flessibile e personalizzabile, che fornisce alle organizzazioni un panorama di rischio dettagliato.

Si presenta come una piattaforma fruibile via web e full-API che può essere azionata all’interno dei sistemi e delle infrastrutture difensive dell’organizzazione, con l’obiettivo di rafforzare la protezione nei confronti delle minacce cibernetiche complesse.

La costante attività di ricerca e analisi sui threat actors e sulle minacce emergenti in rete, sia in ambito APT che cyber crime, produce un continuo flusso informativo di natura esclusiva che viene messo a disposizione delle organizzazioni in real-time ed elaborato in report tecnici, strategici ed executive.

 

Scopri di più sui nostri servizi di Intelligence.

2