As cooperativas de crédito são alvos valiosos para grupos de ransomware.
A First Commonwealth Federal Credit Union ("First Commonwealth") notificou os seus quase 99.000 membros sobre um "Evento de Dados" que expôs nomes, moradas, números de Segurança Social, datas de nascimento ou números de conta dos membros. A First Commonwealth é uma grande cooperativa de crédito no leste da Pensilvânia, com mais de uma dúzia de locais no Grande Vale de Lehigh e áreas circundantes.
O grupo de ransomware Meow reivindicou a responsabilidade por este ataque com um aviso no seu site de vazamentos. O grupo afirma ter roubado mais de 400 GB de dados, incluindo contratos, registos contabilísticos, dados de gestão de risco, documentos de RH, relatórios de auditoria, ficheiros bancários, detalhes financeiros, informações de folha de pagamento, documentos fiscais e muito mais.
O ransomware Meow publica a First Commonwealth Federal Credit Union no seu site de vazamentos, via HackManac
Eis uma análise mais detalhada da descrição dos dados roubados:
Descrição do vazamento da First Commonwealth, via Comparitech
First Commonwealth não confirmou estas alegações, embora a notificação de violação de dados apresentada ao Procurador-Geral do Maine descreva a violação como uma "Violação de sistema externo (hacking)." O escritório de advocacia Federman & Sherwood anunciou que está a investigar a violação de dados.
O grupo de ransomware Meow não é tão ativo quanto aqueles que perfilamos. Há algumas indicações de que está a aumentar os seus ataques, mas o número exato de vítimas é desconhecido porque o site de fugas do grupo apenas lista as vítimas que não pagaram um resgate. Os relatórios são mistos relativamente às origens e aos modelos operacionais deste grupo.
Publicação no fórum de crime perguntando sobre o status do ransomware Meow, via SOCRadar
O ataque/incidente
A cooperativa de crédito detetou atividade de rede invulgar a 27 de junho de 2024 e iniciou imediatamente procedimentos de resposta a incidentes e mitigação. A 1 de julho de 2024, foi determinado que "um ator não autorizado adquiriu certos ficheiros e dados armazenados nos nossos sistemas em ou por volta de 26 de junho de 2024." A First Commonwealth notificou as vítimas consumidoras a 2 de agosto de 2024.
O atraso na notificação dos consumidores não é incomum, mas também não é útil. Se o grupo Meow infiltrou os sistemas em 26 de junho e exfiltrou dados sensíveis, estes já estão a ser processados e preparados para ataques futuros. Embora não haja indicação de que as credenciais para os serviços online tenham sido comprometidas, não é difícil imaginar que os dados da First Commonwealth sejam combinados com outras credenciais roubadas para criar listas para stuffing de credenciais ou outros ataques. Os nossos blogs sobre ransomware BianLian e roubo de credenciais/AI têm mais detalhes sobre como estes ataques funcionam e porque até mesmo conjuntos parciais de dados podem ser prejudiciais para os consumidores.
Existem algumas razões comuns pelas quais as empresas podem atrasar uma notificação de violação ao público. No caso da First Commonwealth e de muitas outras, pode ser uma questão de garantir que a empresa forneça informações precisas e cumpra os requisitos legais e regulamentares. As revisões internas das equipas de cibersegurança e investigação, assessoria jurídica e equipas de comunicação pública podem causar alguma gestão interna da linguagem e conteúdo da notificação. Também podem ocorrer atrasos por parte das autoridades policiais, que ocorrem quando a notificação de uma violação pode interferir com a investigação dos atacantes. Isto é mais provável de acontecer quando se lida com um agente de ameaças como Volt Typhoon, que se infiltrará num sistema e depois aguardará para um ataque futuro. A situação com a First Commonwealth é mais provavelmente uma questão de garantir precisão e conformidade, e de se proteger de ações legais e danos reputacionais.
As cooperativas de crédito são alvos ricos
A Associação Nacional de União de Crédito (NCUA) submeteu recentemente o último Relatório de Cibersegurança e Resiliência do Sistema de União de Crédito. Este é um relatório anual exigido por lei para o Congresso dos EUA que descreve os esforços contínuos de cibersegurança da associação. O Conselho da NCUA estabelece os padrões de proteção de dados para registos e informações de membros das uniões de crédito e exige que as uniões de crédito seguradas federalmente reportem incidentes cibernéticos dentro de 72 horas. Segundo a NCUA, as uniões de crédito sofreram 892 incidentes cibernéticos entre 1 de setembro de 2023 e 1 de maio de 2024. Pode obter os detalhes sobre as regras e operações da NCUA aqui.
As cooperativas de crédito são alvos atrativos para agentes de ameaça por várias razões. Em março de 2024, a NCUA listou 4571 cooperativas de crédito nos EUA, controlando um total de $2,31 trilhões em ativos totais. As cooperativas de crédito normalmente controlam menos ativos do que os bancos, e mesmo a maior cooperativa de crédito é superada pelo maior banco.
Funcionalidade |
Navy Federal Credit Union |
JPMorgan Chase |
Ativos ($) |
$178 mil milhões |
3,5 biliões de dólares |
Adesão/Clientes |
13,5 milhões de membros |
80 milhões de clientes |
Filiais |
355 |
4.700 |
Caixas automáticas |
30.000+ (rede CO-OP) |
16.000 |
Percentagem do orçamento dedicada à cibersegurança |
Isto leva os atores de ameaça a acreditar que as cooperativas de crédito são uma oportunidade rica com menos defesas do que os grandes bancos. Os atores de ameaça irão sempre visar os bancos, mas as cooperativas de crédito também são alvos rentáveis.
As cooperativas de crédito também tendem a depender mais de fornecedores terceirizados para serviços de TI e outros. Uma violação de fornecedor pode servir como ponto de entrada para um ataque à cooperativa de crédito. Várias cooperativas de crédito foram afetadas por ataques à cadeia de abastecimento nos últimos dois anos, e, ao contrário da governação federal dos bancos dos EUA, não há supervisão dos fornecedores terceirizados para cooperativas de crédito. 60% dos ciberataques reportados à NCUA envolveram um prestador de serviços terceirizado. Um exemplo disso é o ataque à Ongoing Operations, um fornecedor de serviços de TI para cooperativas de crédito. Dezenas de cooperativas de crédito ficaram offline devido a este ataque.
Proteja-se
Existem poucos detalhes sobre como Meow comprometeu a First Commonwealth, embora pelo menos um relatório sugira um ataque às aplicações web da cooperativa de crédito. Sabe-se que Meow utiliza uma variedade de métodos de infeção, como vulnerabilidades do Remote Desktop Protocol (RDP), e-mails de phishing e kits de exploração. A SOCRadar observa que Meow também utilizou malvertising, injeções web, atualizações falsas e instaladores infectados para obter acesso. Francamente, o primeiro elo na cadeia de infeção pode ser qualquer coisa. Os atores da ameaça farão tudo o que puderem para entrar numa rede, por isso é importante defender todos estes vetores de ameaça. Alguns exemplos:
- Promova uma cultura de formação e sensibilização contínua sobre cibersegurança. Os funcionários devem ser capazes de reconhecer ataques de phishing e incentivados a reportar atividades suspeitas. (Este artigo sobre o plano da Microsoft para tornar a segurança uma 'prioridade central' para os funcionários pode ser de interesse.)
- Aplique o princípio do menor privilégio para que os utilizadores tenham apenas o acesso necessário para realizar o seu trabalho.
- Segmente as redes para limitar o movimento lateral através da rede e minimizar o "raio de explosão" de um ataque.
- Monitorizar continuamente a rede para atividades anómalas. Uma solução como Managed XDR com SOC-as-a-Service pode realizar estas atividades e iniciar uma resposta imediata a incidentes, se necessário.
- Defenda a superfície de ataque com soluções como firewalls e sistemas de deteção de intrusões.
- Configurações seguras de RDP e VPN para proteger contra acesso não autorizado.
- Mantenha backups regulares para garantir que os dados encriptados podem ser restaurados sem pagar um resgate.
- Encripte os dados em trânsito e em repouso
- Examine os fornecedores para garantir a adesão a rigorosos padrões de segurança.
- Siga um bom processo de gestão de patches que garanta que as vulnerabilidades sejam mitigadas o mais rapidamente possível.
Os mais de 98.000 membros da First Commonwealth não podem desfazer a violação dos seus dados, mas todos podemos tirar algumas lições deste ataque. Os atores de ameaças estão sempre presentes, especialmente na era da IA. Os indivíduos devem usar um bom gestor de palavras-passe para gerar senhas únicas, complexas e aleatórias para cada conta online. Utilize a autenticação multifator sempre que possível e esteja atento a potenciais ataques de e-mail como tentativas de phishing e links ou anexos maliciosos. Empresas como a First Commonwealth têm de eliminar os seus pontos cegos e lacunas de segurança e, talvez, a NCUA deva ter mais autoridade estatutária para examinar ou supervisionar os fornecedores de serviços de cooperativas de crédito de terceiros. A supervisão de terceiros é atualmente da responsabilidade das cooperativas de crédito individuais, que muitas vezes não têm os recursos para avaliar minuciosamente esses fornecedores de serviços.
Além de seguir as melhores práticas, as cooperativas de crédito e outras pequenas e médias empresas podem defender-se com o Barracuda Cybersecurity Platform. Esta solução abrangente de segurança e proteção de dados protege as organizações de todos os principais vetores de ataque e é apoiada por um serviço ao cliente completo e premiado. Trabalhar com a Barracuda reduz a complexidade e o custo total de propriedade. A inteligência de ameaças aprimorada por IA e o Centro de Operações de Segurança 24/7/365 aumentam a eficácia desta plataforma e melhoram os tempos de resposta a incidentes. Pode explorar a plataforma aqui.
Subscreva o Blogue Barracuda.
Inscreva-se para receber destaques sobre ameaças, comentários do setor e muito mais.
