Mens offentliggjorte tendenser inden for ransomware-angreb har været modstridende - med nogle firmaer, der sporer flere hændelser og andre færre - har virksomheds-e-mail-kompromis-angreb (BEC) fortsat vist sig at være succesfulde mod organisationer.
BEC-sager, som andel af alle hændelse-respons-sager, mere end fordoblet i årets andet kvartal, til 34 % fra 17 % i første kvartal af 2022. Det er ifølge Arctic Wolfs “1H 2022 Incident Response Insights”-rapport, offentliggjort den 29. september, som fandt ud af, at specifikke brancher – herunder finans-, forsikrings-, forretningsservice og advokatfirmaer samt offentlige myndigheder – oplevede mere end det dobbelte af deres tidligere antal sager, sagde virksomheden.
Samlet set er antallet af BEC-angreb pr. e-mail-boks vokset med 84 % i første halvdel af 2022, ifølge data fra cybersikkerhedsfirmaet Abnormal Security.
I mellemtiden, indtil videre i år, har trusselsrapporter udgivet af organisationer afsløret modstridende tendenser for ransomware. Arctic Wolf og Identity Theft Resource Center (ITRC) har set fald i antallet af vellykkede ransomware-angreb, mens erhvervskunder ser ud til at støde på ransomware sjældnere, ifølge sikkerhedsfirmaet Trellix. Samtidig havde netværkssikkerhedsfirmaet WatchGuard en modsat holdning og bemærkede, at dets opdagelse af ransomware-angreb steg med 80 % i første kvartal af 2022sammenlignet med hele sidste år.
Glimtet fra BEC overstråler ransomware
BEC-landskabets stigende tilstand er ikke overraskende, siger Daniel Thanos, vicepræsident for Arctic Wolf Labs, fordi BEC-angreb giver cyberkriminelle fordele frem for ransomware. Specifikt er BEC-gevinster ikke afhængige af værdien af kryptovaluta, og angreb er ofte mere vellykkede til at undslippe varsel, mens de er i gang.
"Vores forskning viser, at trusselsaktører desværre er meget opportunistiske," siger han.
Af den grund fortsætter BEC - som bruger social engineering og interne systemer til at stjæle midler fra virksomheder - en stærkere indtægtskilde for cyberkriminelle. I 2021 tegnede BEC-angreb sig for 35 %, eller 2.4 milliarder USD, af de 6.9 milliarder USD i potentielle tab spores af FBI's Internet Crime Complaint Center (IC3), mens ransomware forblev en lille brøkdel (0.7%) af totalen.
Med hensyn til indtægter fra individuelle angreb på virksomheder bemærkede Arctic Wolf-analysen, at den gennemsnitlige løsesum for første kvartal var omkring $450,000, men forskerholdet leverede ikke det gennemsnitlige tab for ofre for BEC-angreb.
Ændring af økonomisk motiveret cybertaktik
Unormal sikkerhed fundet i sin trusselsrapport tidligere i år, at langt størstedelen af alle cyberkriminalitetshændelser (81%) involverede eksterne sårbarheder i nogle få meget målrettede produkter - nemlig Microsofts Exchange-server og VMwares Horizon virtual-desktop-software - samt dårligt konfigurerede fjerntjenester, såsom Microsofts Remote Desktop Protocol (RDP).
Især ikke-patchede versioner af Microsoft Exchange er sårbare over for ProxyShell-udnyttelsen (og nu ProxyNotShell-fejl), som bruger tre sårbarheder til at give angribere administrativ adgang til et Exchange-system. Mens Microsoft fiksede problemerne for mere end et år siden, offentliggjorde virksomheden først sårbarhederne et par måneder senere.
VMware Horizon er et populært virtuelt skrivebord og app-produkt sårbar over for Log4Shell-angrebet der udnyttede de berygtede Log4j 2.0-sårbarheder.
Begge veje driver BEC-kampagner specifikt har forskere bemærket.
Derudover bruger mange cyberbander data eller legitimationsoplysninger stjålet fra virksomheder under ransomware-angreb til brændstof BEC kampagner.
"Efterhånden som organisationer og medarbejdere bliver mere opmærksomme på én taktik, vil trusselsaktører justere deres strategier i et forsøg på at være et skridt foran e-mailsikkerhedsplatforme og træning i sikkerhedsbevidsthed." Abnormal Security sagde tidligere i år. "De ændringer, der er noteret i denne forskning, er blot nogle af indikatorerne for, at disse skift allerede sker, og organisationer bør forvente at se mere i fremtiden."
Social engineering er også populær som altid. Mens eksterne angreb på sårbarheder og fejlkonfigurationer er den mest udbredte måde, hvorpå angribere får adgang til systemer, er menneskelige brugere og deres legitimationsoplysninger fortsat et populært mål i BEC-angreb, siger Arctic Wolfs Thanos.
"BEC-sager er ofte resultatet af social engineering sammenlignet med ransomware-sager, som ofte er forårsaget af udnyttelse af uoprettede sårbarheder eller fjernadgangsværktøjer," siger han. "Det er vores erfaring, at trusselsaktører er mere tilbøjelige til at angribe en virksomhed via fjernudnyttelse end at snyde et menneske.
Sådan undgår du BEC-kompromis
For at undgå at blive et offer kan grundlæggende sikkerhedsforanstaltninger række langt, fandt Arctic Wolf. Faktisk havde mange virksomheder, der blev offer for BEC-angreb, ikke sikkerhedskontroller, der potentielt kunne have forhindret skade, udtalte virksomheden i sin analyse.
For eksempel viste forskningen, at 80 % af de virksomheder, der lider af en BEC-hændelse, ikke havde nogen multifaktorautentificering på plads. Derudover kan andre kontroller, såsom netværkssegmentering og træning i sikkerhedsbevidsthed, hjælpe med at forhindre BEC-angreb i at blive dyre, selv efter at angriberen med succes har kompromitteret et eksternt system.
"Virksomheder bør styrke deres medarbejderforsvar gennem sikkerhedstræning," siger Thanos, "men de skal også adressere de sårbarheder, som trusselsaktører fokuserer på."
