Kyberrikolliset näkevät Allure:n kirjassa BEC Attacks Over Ransomware

Vaikka ransomware-hyökkäyksiä koskevat julkaistut trendit ovat olleet ristiriitaisia ​​– jotkin yritykset ovat seuranneet enemmän tapauksia ja toiset vähemmän – yrityssähköpostin kompromissihyökkäykset (BEC) ovat edelleen osoittautuneet menestyneiksi organisaatioita vastaan.

BEC-tapausten osuus kaikista häiriötapauksista yli kaksinkertaistui vuoden toisella neljänneksellä 34 prosenttiin vuoden 17 ensimmäisen neljänneksen 2022 prosentista. Arctic Wolfin "1H 2022 Incident Response Insights29. syyskuuta julkaistussa raportissa todettiin, että tietyillä toimialoilla - mukaan lukien rahoitus-, vakuutus-, liike-elämän palvelut ja lakitoimistot sekä valtion virastot - koki yli kaksinkertainen tapausten määrä aiempiin tapauksiinsa, yhtiö sanoi.

Kaiken kaikkiaan sähköpostilaatikkoa kohden kohdistettujen BEC-hyökkäysten määrä on kasvanut 84 % vuoden 2022 ensimmäisellä puoliskolla. Kyberturvallisuusyrityksen Abnormal Securityn tietojen mukaan.

Samaan aikaan tämän vuoden tähän mennessä organisaatioiden julkaisemat uhkaraportit ovat paljastaneet ristiriitaisia ​​suuntauksia kiristysohjelmien suhteen. Arctic Wolf ja Identity Theft Resource Center (ITRC) ovat nähneet onnistuneiden kiristysohjelmahyökkäysten määrä vähenee, vaikka yritysasiakkaat näyttävät törmäävän kiristysohjelmiin harvemmin, turvallisuusyhtiö Trellixin mukaan. Samaan aikaan verkon tietoturvayritys WatchGuard oli päinvastaisella kannalla, koska se havaitsi kiristysohjelmahyökkäyksiä nousi pilviin 80 % vuoden 2022 ensimmäisellä neljänneksellä, verrattuna koko viime vuoteen.

BEC:n kiilto ohittaa kiristysohjelmat

Arctic Wolf Labsin varatoimitusjohtaja Daniel Thanos sanoo, että BEC-maiseman nousussa oleva tila ei ole yllättävää, koska BEC-hyökkäykset tarjoavat kyberrikollisille etuja lunnasohjelmiin verrattuna. Tarkemmin sanottuna BEC:n voitot eivät riipu kryptovaluutan arvosta, ja hyökkäykset onnistuvat usein paremmin välttämään varoitusta käynnissä ollessaan.

"Tutkimuksemme osoittavat, että uhkatoimijat ovat valitettavasti hyvin opportunistisia", hän sanoo.

Tästä syystä BEC - joka käyttää sosiaalista suunnittelua ja sisäisiä järjestelmiä varastaakseen varoja yrityksiltä - on edelleen vahvempi tulonlähde kyberrikollisille. Vuonna 2021 BEC-hyökkäysten osuus 35 miljardin dollarin mahdollisista tappioista oli 2.4 % eli 6.9 miljardia dollaria. FBI:n Internet Crime Complaint Centerin (IC3) jäljittämä, kun taas kiristysohjelmat säilyivät pienen osan (0.7 %) kokonaismäärästä. 

Yksittäisten yrityksiin kohdistuneiden hyökkäyksien tulojen osalta Arctic Wolf -analyysi totesi, että ensimmäisen vuosineljänneksen lunnaiden mediaani oli noin 450,000 XNUMX dollaria, mutta tutkimusryhmä ei antanut BEC-hyökkäysten uhrien keskimääräistä tappiota.

Taloudellisesti motivoituneiden kybertaktiikkojen muuttaminen

Epänormaali suojaus löydetty uhkaraportissaan aiemmin tänä vuonna, että suurin osa kaikista tietoverkkorikollisista tapauksista (81 %) koski ulkoisia haavoittuvuuksia muutamissa tarkasti kohdistetuissa tuotteissa – nimittäin Microsoftin Exchange-palvelimessa ja VMwaren Horizon-virtuaalityöpöytäohjelmistossa – sekä huonosti konfiguroituihin etäpalveluihin, kuten Microsoftin Remote Desktop Protocol (RDP).

Erityisesti Microsoft Exchangen korjaamattomat versiot ovat alttiina ProxyShell-hyödyntämiselle (ja nyt ProxyNotShell-virheet), joka käyttää kolmea haavoittuvuutta antaakseen hyökkääjille järjestelmänvalvojan pääsyn Exchange-järjestelmään. Vaikka Microsoft korjasi ongelmat yli vuosi sitten, yritys julkisti haavoittuvuudet vasta muutamaa kuukautta myöhemmin.

VMware Horizon on suosittu virtuaalinen työpöytä- ja sovellustuote alttiina Log4Shell-hyökkäykselle joka käytti hyväkseen surullisen Log4j 2.0 -haavoittuvuuksia.

Molemmat väylät ruokkivat BEC-kampanjoita erityisesti tutkijat ovat huomauttaneet. 

Lisäksi monet kyberjengit käyttävät ransomware-hyökkäysten aikana yrityksiltä varastettuja tietoja tai tunnistetietoja polttoaineen BEC-kampanjoita.

"Kun organisaatiot ja työntekijät tulevat tietoisemmiksi yhdestä taktiikista, uhkatoimijat mukauttavat strategioitaan pysyäkseen askeleen edellä sähköpostin tietoturvaalustoja ja tietoturvakoulutuksia." Epänormaali turvallisuus sanoi aikaisemmin tänä vuonna. "Tässä tutkimuksessa havaitut muutokset ovat vain muutamia indikaattoreita siitä, että nämä muutokset ovat jo tapahtuneet, ja organisaatioiden pitäisi odottaa näkevänsä enemmän tulevaisuudessa."

Sosiaalinen suunnittelu on myös suosittua, kuten aina. Vaikka ulkoiset hyökkäykset haavoittuvuuksia ja virheellisiä määrityksiä vastaan ​​ovat yleisin tapa, jolla hyökkääjät pääsevät käsiksi järjestelmiin, käyttäjät ja heidän tunnistetiedot ovat edelleen suosittu kohde BEC-hyökkäyksissä, Arctic Wolf's Thanos sanoo.

"BEC-tapaukset ovat usein seurausta sosiaalisesta manipulaatiosta verrattuna kiristysohjelmiin, jotka johtuvat usein korjaamattomien haavoittuvuuksien tai etäkäyttötyökalujen hyödyntämisestä", hän sanoo. ”Kokemuksemme mukaan uhkatekijät hyökkäävät todennäköisemmin yritykseen etäkäytön kautta kuin huijaavat ihmistä.

Kuinka välttää BEC-kompromissi

Uhriksi joutumisen välttämiseksi perusturvatoimilla voidaan päästä pitkälle, Arctic Wolf totesi. Itse asiassa monilla BEC-hyökkäysten uhreiksi joutuneilla yrityksillä ei ollut turvatarkastuksia, jotka mahdollisesti olisivat voineet estää vahingot, yhtiö totesi analyysissaan. 

Esimerkiksi tutkimuksessa havaittiin, että 80 prosentilla BEC-tapauksesta kärsineistä yrityksistä ei ollut käytössä monitekijätodennusta. Lisäksi muut hallintalaitteet, kuten verkon segmentointi ja tietoturvakoulutus, voivat auttaa estämään BEC-hyökkäykset kalliiksi, vaikka hyökkääjä olisi onnistuneesti murtautunut ulkoiseen järjestelmään.

"Yritysten tulisi vahvistaa työntekijöidensä puolustusta turvallisuuskoulutuksen avulla", Thanos sanoo, "mutta niiden on myös puututtava haavoittuvuuksiin, joihin uhkatoimijat keskittyvät."