Während die veröffentlichten Trends bei Ransomware-Angriffen widersprüchlich waren – einige Unternehmen verfolgen mehr Vorfälle und andere weniger –, haben Business Email Compromise (BEC)-Angriffe weiterhin nachweislich Erfolg gegen Unternehmen.
Der Anteil der BEC-Fälle an allen Incident-Response-Fällen hat sich im zweiten Quartal des Jahres von 34 % im ersten Quartal 17 auf 2022 % mehr als verdoppelt. Das geht aus Angaben von Arctic Wolf hervor.1H 2022 Einblicke in die Reaktion auf Vorfälle“-Bericht, der am 29. September veröffentlicht wurde und herausfand, dass bestimmte Branchen – darunter Finanz-, Versicherungs-, Unternehmensdienstleistungen und Anwaltskanzleien sowie Regierungsbehörden – mehr als doppelt so viele Fälle hatten wie zuvor, sagte das Unternehmen.
Insgesamt ist die Anzahl der BEC-Angriffe pro E-Mail-Postfach im ersten Halbjahr 84 um 2022 % gestiegen, nach Angaben der Cybersicherheitsfirma Abnormal Security.
Unterdessen haben in diesem Jahr von Organisationen veröffentlichte Bedrohungsberichte widersprüchliche Trends für Ransomware offenbart. Arctic Wolf und das Identity Theft Resource Center (ITRC) gesehen haben sinkt die Anzahl erfolgreicher Ransomware-Angriffe, während Geschäftskunden seltener auf Ransomware stoßen, laut Sicherheitsfirma Trellix. Gleichzeitig vertrat das Netzwerksicherheitsunternehmen WatchGuard eine gegenteilige Meinung und stellte fest, dass es Ransomware-Angriffe erkennt ist im ersten Quartal 80 um 2022 % in die Höhe geschossen, verglichen mit dem ganzen letzten Jahr.
Der Glanz von BEC stellt Ransomware in den Schatten
Der wachsende Zustand der BEC-Landschaft ist nicht überraschend, sagt Daniel Thanos, Vizepräsident von Arctic Wolf Labs, da BEC-Angriffe Cyberkriminellen Vorteile gegenüber Ransomware bieten. Insbesondere hängen BEC-Gewinne nicht vom Wert der Kryptowährung ab, und Angriffe sind oft erfolgreicher, wenn sie während der Ausführung der Aufmerksamkeit entgehen.
„Unsere Forschung zeigt, dass Bedrohungsakteure leider sehr opportunistisch sind“, sagt er.
Aus diesem Grund ist BEC – das Social Engineering und interne Systeme einsetzt, um Gelder von Unternehmen zu stehlen – weiterhin eine stärkere Einnahmequelle für Cyberkriminelle. Im Jahr 2021 machten BEC-Angriffe 35 % oder 2.4 Milliarden US-Dollar der potenziellen Verluste in Höhe von 6.9 Milliarden US-Dollar aus Verfolgt vom Internet Crime Complaint Center (IC3) des FBI, während Ransomware nur einen kleinen Bruchteil (0.7 %) der Gesamtzahl ausmachte.
In Bezug auf die Einnahmen aus einzelnen Angriffen auf Unternehmen stellte die Analyse von Arctic Wolf fest, dass das mittlere Lösegeld für das erste Quartal etwa 450,000 US-Dollar betrug, aber das Forschungsteam gab nicht den durchschnittlichen Verlust für Opfer von BEC-Angriffen an.
Verlagerung finanziell motivierter Cyber-Taktiken
Abnormale Sicherheit gefunden in seinem Drohbericht Anfang dieses Jahres, dass die überwiegende Mehrheit aller Cybercrime-Vorfälle (81 %) externe Schwachstellen in einigen sehr gezielten Produkten betraf – nämlich Microsofts Exchange-Server und VMwares virtuelle Desktop-Software Horizon – sowie schlecht konfigurierte Remote-Dienste wie die von Microsoft Remotedesktopprotokoll (RDP).
Insbesondere ungepatchte Versionen von Microsoft Exchange sind anfällig für den ProxyShell-Exploit (und jetzt die ProxyNotShell-Fehler), der Angreifern über drei Schwachstellen administrativen Zugriff auf ein Exchange-System verschafft. Während Microsoft die Probleme vor mehr als einem Jahr gepatcht hat, hat das Unternehmen die Schwachstellen erst einige Monate später veröffentlicht.
VMware Horizon ist ein beliebtes virtuelles Desktop- und App-Produkt anfällig für den Log4Shell-Angriff die die berüchtigten Schwachstellen von Log4j 2.0 ausgenutzt haben.
Beide Wege befeuern BEC-Kampagnen Forscher haben insbesondere festgestellt.
Darüber hinaus verwenden viele Cybergangs Daten oder Zugangsdaten, die Unternehmen bei Ransomware-Angriffen gestohlen wurden Kraftstoff BEC-Kampagnen.
„Wenn Organisationen und Mitarbeiter sich einer Taktik bewusster werden, werden Bedrohungsakteure ihre Strategien anpassen, um E-Mail-Sicherheitsplattformen und Sicherheitsbewusstseinsschulungen immer einen Schritt voraus zu sein.“ Abnorme Sicherheit sagte früher in diesem Jahr. „Die in dieser Studie festgestellten Veränderungen sind nur einige der Indikatoren dafür, dass diese Veränderungen bereits stattfinden, und Unternehmen sollten in Zukunft mit weiteren Veränderungen rechnen.“
Auch Social Engineering ist nach wie vor beliebt. Während externe Angriffe auf Schwachstellen und Fehlkonfigurationen der häufigste Weg sind, wie Angreifer Zugriff auf Systeme erhalten, bleiben menschliche Benutzer und ihre Anmeldeinformationen weiterhin ein beliebtes Ziel bei BEC-Angriffen, sagt Thanos von Arctic Wolf.
„BEC-Fälle sind oft das Ergebnis von Social Engineering, im Gegensatz zu Ransomware-Fällen, die oft durch die Ausnutzung ungepatchter Schwachstellen oder Tools für den Fernzugriff verursacht werden“, sagt er. „Unserer Erfahrung nach ist es wahrscheinlicher, dass Bedrohungsakteure ein Unternehmen per Remote-Exploit angreifen, als einen Menschen hinters Licht zu führen.
So vermeiden Sie BEC-Kompromisse
Um zu vermeiden, Opfer zu werden, können grundlegende Sicherheitsmaßnahmen viel bewirken, fand Arctic Wolf. Tatsächlich verfügten viele Unternehmen, die Opfer von BEC-Angriffen wurden, nicht über Sicherheitskontrollen, die möglicherweise Schäden hätten verhindern können, so das Unternehmen in seiner Analyse.
Die Untersuchung ergab beispielsweise, dass 80 % der Unternehmen, die von einem BEC-Vorfall betroffen waren, keine Multifaktor-Authentifizierung eingesetzt hatten. Darüber hinaus könnten andere Kontrollen wie Netzwerksegmentierung und Schulungen zum Sicherheitsbewusstsein dazu beitragen, dass BEC-Angriffe nicht kostspielig werden, selbst nachdem der Angreifer erfolgreich ein externes System kompromittiert hat.
„Unternehmen sollten ihre Mitarbeiterverteidigung durch Sicherheitsschulungen stärken“, sagt Thanos, „aber sie müssen auch die Schwachstellen angehen, auf die sich Bedrohungsakteure konzentrieren.“
