Κυβερνοεγκληματίες Βλέπουν το Allure στις επιθέσεις BEC μέσω Ransomware

Ενώ οι δημοσιευμένες τάσεις στις επιθέσεις ransomware ήταν αντιφατικές - με ορισμένες εταιρείες να παρακολουθούν περισσότερα περιστατικά και άλλες λιγότερα - οι επιθέσεις επιχειρηματικού συμβιβασμού μέσω email (BEC) συνεχίζουν να έχουν αποδεδειγμένη επιτυχία εναντίον οργανισμών.

Τα κρούσματα BEC, ως ποσοστό όλων των περιπτώσεων απόκρισης περιστατικών, υπερδιπλασιάστηκαν το δεύτερο τρίμηνο του έτους, σε 34% από 17% το πρώτο τρίμηνο του 2022. Αυτό σύμφωνα με την Arctic Wolf's ".Insights απόκρισης περιστατικού α' εξαμήνου 1», η έκθεση, που δημοσιεύθηκε στις 29 Σεπτεμβρίου, η οποία διαπίστωσε ότι συγκεκριμένες βιομηχανίες — συμπεριλαμβανομένων των χρηματοοικονομικών, των ασφαλιστικών, των επιχειρηματικών υπηρεσιών και των δικηγορικών γραφείων, καθώς και των κυβερνητικών υπηρεσιών — παρουσίασαν υπερδιπλάσιο αριθμό περιπτώσεων στον προηγούμενο, είπε η εταιρεία.

Συνολικά, ο αριθμός των επιθέσεων BEC που αντιμετώπισαν ανά κιβώτιο ηλεκτρονικού ταχυδρομείου αυξήθηκε κατά 84% το πρώτο εξάμηνο του 2022, σύμφωνα με στοιχεία της εταιρείας κυβερνοασφάλειας Abnormal Security.

Εν τω μεταξύ, μέχρι στιγμής φέτος, οι αναφορές απειλών που δημοσιεύθηκαν από οργανισμούς έχουν αποκαλύψει αντιφατικές τάσεις για ransomware. Το Arctic Wolf και το Identity Theft Resource Center (ITRC) έχουν δει μειώνεται ο αριθμός των επιτυχημένων επιθέσεων ransomware, ενώ οι επιχειρηματικοί πελάτες φαίνεται να αντιμετωπίζουν λιγότερο συχνά ransomware, σύμφωνα με την εταιρεία ασφαλείας Trellix. Την ίδια στιγμή, η εταιρεία ασφαλείας δικτύων WatchGuard είχε αντίθετη άποψη, σημειώνοντας ότι ο εντοπισμός επιθέσεων ransomware εκτοξεύτηκε κατά 80% το πρώτο τρίμηνο του 2022, σε σύγκριση με όλα τα περσινά.

Το Gleam of BEC ξεπερνά το Ransomware

Η αυξανόμενη κατάσταση του τοπίου BEC δεν προκαλεί έκπληξη, λέει ο Daniel Thanos, αντιπρόεδρος της Arctic Wolf Labs, επειδή οι επιθέσεις BEC προσφέρουν στους κυβερνοεγκληματίες πλεονεκτήματα έναντι του ransomware. Συγκεκριμένα, τα κέρδη του BEC δεν βασίζονται στην αξία του κρυπτονομίσματος και οι επιθέσεις είναι συχνά πιο επιτυχημένες στο να διαφεύγουν την προσοχή ενώ βρίσκονται σε εξέλιξη.

«Η έρευνά μας δείχνει ότι οι παράγοντες απειλών είναι δυστυχώς πολύ καιροσκοπικοί», λέει.

Για το λόγο αυτό, η BEC — η οποία χρησιμοποιεί κοινωνική μηχανική και εσωτερικά συστήματα για να κλέβει κεφάλαια από επιχειρήσεις — εξακολουθεί να είναι ισχυρότερη πηγή εσόδων για τους εγκληματίες του κυβερνοχώρου. Το 2021, οι επιθέσεις BEC αντιπροσώπευαν το 35%, ή 2.4 δισεκατομμύρια δολάρια, από τα 6.9 δισεκατομμύρια δολάρια σε πιθανές απώλειες παρακολουθείται από το Κέντρο Παραπόνων Διαδικτύου του FBI (IC3), ενώ το ransomware παρέμεινε ένα μικρό κλάσμα (0.7%) του συνόλου. 

Όσον αφορά τα έσοδα από μεμονωμένες επιθέσεις σε επιχειρήσεις, η ανάλυση του Arctic Wolf σημείωσε ότι η μέση τιμή λύτρων για το πρώτο τρίμηνο ήταν περίπου 450,000 $, αλλά η ερευνητική ομάδα δεν παρείχε τη μέση απώλεια για τα θύματα των επιθέσεων BEC.

Μετατόπιση κυβερνοτακτικών με οικονομικά κίνητρα

Βρέθηκε μη φυσιολογική ασφάλεια στην έκθεση απειλών του νωρίτερα αυτό το έτος ότι η συντριπτική πλειονότητα όλων των περιστατικών εγκλήματος στον κυβερνοχώρο (81%) αφορούσε εξωτερικές ευπάθειες σε ορισμένα προϊόντα υψηλής στόχευσης - συγκεκριμένα, ο διακομιστής Exchange της Microsoft και το λογισμικό εικονικής επιφάνειας εργασίας Horizon της VMware - καθώς και απομακρυσμένες υπηρεσίες με κακή διαμόρφωση, όπως η Microsoft Πρωτόκολλο απομακρυσμένης επιφάνειας εργασίας (RDP).

Ειδικά οι μη επιδιορθωμένες εκδόσεις του Microsoft Exchange είναι ευάλωτες στην εκμετάλλευση του ProxyShell (και τώρα το Σφάλματα ProxyNotShell), το οποίο χρησιμοποιεί τρία τρωτά σημεία για να παρέχει στους εισβολείς πρόσβαση διαχειριστή σε ένα σύστημα Exchange. Ενώ η Microsoft διορθώθηκε τα ζητήματα πριν από περισσότερο από ένα χρόνο, η εταιρεία δεν δημοσιοποίησε τα τρωτά σημεία παρά λίγους μήνες αργότερα.

Το VMware Horizon είναι ένα δημοφιλές προϊόν εικονικής επιφάνειας εργασίας και εφαρμογών ευάλωτο στην επίθεση Log4Shell που εκμεταλλεύτηκε τα περίφημα τρωτά σημεία Log4j 2.0.

Και οι δύο λεωφόροι τροφοδοτούν εκστρατείες BEC συγκεκριμένα, οι ερευνητές σημείωσαν. 

Επιπλέον, πολλές συμμορίες στον κυβερνοχώρο χρησιμοποιούν δεδομένα ή διαπιστευτήρια που έχουν κλαπεί από επιχειρήσεις κατά τη διάρκεια επιθέσεων ransomware για τροφοδοτούν εκστρατείες BEC.

«Καθώς οι οργανισμοί και οι εργαζόμενοι αποκτούν μεγαλύτερη επίγνωση μιας τακτικής, οι παράγοντες απειλών θα προσαρμόσουν τις στρατηγικές τους σε μια προσπάθεια να παραμείνουν ένα βήμα μπροστά από τις πλατφόρμες ασφάλειας email και την εκπαίδευση ευαισθητοποίησης σχετικά με την ασφάλεια». Ανώμαλη ασφάλεια είπε νωρίτερα φέτος. «Οι αλλαγές που σημειώνονται σε αυτήν την έρευνα είναι μόνο μερικοί από τους δείκτες ότι αυτές οι αλλαγές ήδη συμβαίνουν και οι οργανισμοί θα πρέπει να περιμένουν να δουν περισσότερα στο μέλλον».

Η κοινωνική μηχανική είναι επίσης δημοφιλής, όπως πάντα. Ενώ οι εξωτερικές επιθέσεις σε ευπάθειες και εσφαλμένες διαμορφώσεις είναι ο πιο διαδεδομένος τρόπος με τον οποίο οι εισβολείς αποκτούν πρόσβαση στα συστήματα, οι άνθρωποι και τα διαπιστευτήριά τους εξακολουθούν να αποτελούν δημοφιλή στόχο στις επιθέσεις BEC, λέει ο Thanos του Arctic Wolf.

«Οι υποθέσεις BEC είναι συχνά αποτέλεσμα κοινωνικής μηχανικής, σε σύγκριση με περιπτώσεις ransomware, οι οποίες συχνά προκαλούνται από την εκμετάλλευση μη επιδιορθωμένων τρωτών σημείων ή εργαλείων απομακρυσμένης πρόσβασης», λέει. «Σύμφωνα με την εμπειρία μας, οι παράγοντες απειλών είναι πιο πιθανό να επιτεθούν σε μια εταιρεία μέσω απομακρυσμένης εκμετάλλευσης παρά να εξαπατήσουν έναν άνθρωπο.

Πώς να αποφύγετε τον συμβιβασμό BEC

Για να αποφύγετε το θύμα, τα βασικά μέτρα ασφαλείας μπορούν να βοηθήσουν πολύ, διαπίστωσε ο Arctic Wolf. Στην πραγματικότητα, πολλές εταιρείες που πέφτουν θύματα επιθέσεων BEC δεν διέθεταν ελέγχους ασφαλείας που ενδεχομένως θα μπορούσαν να είχαν αποτρέψει ζημιές, ανέφερε η εταιρεία στην ανάλυσή της. 

Για παράδειγμα, η έρευνα διαπίστωσε ότι το 80% των εταιρειών που υποφέρουν από ένα περιστατικό BEC δεν διέθεταν έλεγχο ταυτότητας πολλαπλών παραγόντων. Επιπλέον, άλλα στοιχεία ελέγχου, όπως η τμηματοποίηση δικτύου και η εκπαίδευση ευαισθητοποίησης για την ασφάλεια, θα μπορούσαν να βοηθήσουν στην αποφυγή δαπανηρών επιθέσεων BEC, ακόμη και μετά την επιτυχή παραβίαση ενός εξωτερικού συστήματος από τον εισβολέα.

«Οι εταιρείες πρέπει να ενισχύσουν την άμυνα των εργαζομένων τους μέσω της εκπαίδευσης σε θέματα ασφάλειας», λέει ο Thanos, «αλλά πρέπει επίσης να αντιμετωπίσουν τα τρωτά σημεία στα οποία εστιάζουν οι παράγοντες των απειλών».