Amerikaans banksysteem verscherpt cyberbeveiliging na sancties tegen Rusland

Aangezien de spanningen rond de situatie in Oekraïne zeer hoog blijven en na het gezamenlijke besluit van de VS en de EU om bepaalde Russische banken te blokkeren voor het gebruik van het SWIFT-bankberichten- en overboekingssysteem, gaan Amerikaanse bankinstellingen in een staat van hoog cyberbeveiligingsalarm ter voorbereiding op mogelijke vergeldingsacties van een deel van Rusland.

Banken verscherpen IT-beveiliging

In zijn rapport over dit onderwerp citeerde Reuters Steven Schweitzer van de Swarthmore Group, die verklaarde dat hij "enkele vergeldingsmaatregelen" verwacht. Banken zijn altijd het belangrijkste doelwit geweest voor cyberaanvallen, en in de huidige situatie van oplopende spanningen zijn aanvallen op bankinstellingen inderdaad waarschijnlijker dan ooit.

Toen Reuters contact met hen opnam, weigerden de vijf grootste Amerikaanse banken elk commentaar op het onderwerp cyberbeveiliging en gaven ze geen inzicht in de specifieke kenmerken van hun plannen en maatregelen op het gebied van cyberbeveiliging. Het Amerikaanse banksysteem heeft een grootschalige cyberbeveiligingstraining ondergaan, uitgevoerd door de US Securities Industry and Financial Markets Association. De oefening vond plaats in november vorig jaar.

Reuters citeerde Theresa Walsh, het Amerikaanse hoofd van de inlichtingendienst bij het Financial Services Information Sharing and Analysis Center, die verklaarde dat de huidige inspanning is om details te geven aan de algemene mantra van "wees voorbereid". Particuliere bedrijven zijn gewaarschuwd om ook extra alert te zijn, aangezien inbreuken en aanvallen op hen ook niet onwaarschijnlijk zijn.

Destructieve malware die al in Oekraïne wordt gebruikt

Dit komt naar aanleiding van berichten over destructieve malware-aanvallen op Oekraïense instellingen en websites die plaatsvonden in januari en februari 2022. Het Amerikaanse Cybersecurity and Infrastructure Security Agency publiceerde een samenvatting en een gedetailleerde infodump over de payloads die bij de aanvallen werden gebruikt.

Twee van de gebruikte payloads heten WhisperGate en HermeticWiper. Volgens CISA was Microsoft de entiteit die deze aanvallen voor het eerst opmerkte, te beginnen met WhisperGate in januari. De WhisperGate-malware lijkt te werken als ransomware en geeft zelfs een losgeldbrief aan het slachtoffer weer. Onder de motorkap is de malware echter puur een gegevenswisser - er is geen manier om de gegevens te herstellen zodra deze door de malware zijn getroffen.

In februari werd HermeticWiper ingezet bij aanvallen op Oekraïense IT-doelen. Volgens het CISA-rapport gedraagt HermeticWiper zich een beetje als WhisperGate, gericht op Windows-systemen. De malware richt zich op het master-opstartrecord op de systeemschijven en maakt ze effectief onbruikbaar door de informatie te vernietigen die nodig is om het systeem op te starten.

Het CISA-rapport over de twee destructieve ladingen bevat richtlijnen met betrekking tot mitigatie, waaronder een lange lijst van beveiligingsmaatregelen en goede praktijken, gedragingen en protocollen die moeten worden gevolgd, zodat infectie in de eerste plaats kan worden vermeden.