Míg a ransomware támadásokkal kapcsolatos közzétett trendek ellentmondásosak voltak – egyes cégek több incidenst követnek nyomon, mások pedig kevesebbet –, az üzleti e-mail-kompromisszum (BEC) támadások továbbra is sikeresek a szervezetek ellen.
A BEC-esetek aránya az összes incidens-reagálási esethez képest több mint kétszeresére nőtt az év második negyedévében, 34%-ra a 17 első negyedévi 2022%-ról. Ez az Arctic Wolf's "1H 2022 Incident Response Insights”-jelentés, amelyet szeptember 29-én tettek közzé, amely megállapította, hogy bizonyos iparágakban – beleértve a pénzügyi, biztosítási, üzleti szolgáltatókat és ügyvédi irodákat, valamint a kormányzati szerveket – több mint kétszerese volt az esetek korábbi számának – közölte a cég.
84 első felében összességében 2022%-kal nőtt az egy e-mail fiókonként észlelt BEC-támadások száma, az Abnormal Security kiberbiztonsági cég adatai szerint.
Eközben idén eddig a szervezetek által közzétett fenyegetésjelentések egymásnak ellentmondó trendeket tártak fel a zsarolóvírusokkal kapcsolatban. Az Arctic Wolf és az Identity Theft Resource Center (ITRC) látta csökken a sikeres ransomware támadások száma, míg az üzleti ügyfelek ritkábban találkoznak zsarolóvírussal, a Trellix biztonsági cég szerint. Ugyanakkor a WatchGuard hálózatbiztonsági cég ezzel ellentétes álláspontot képviselt, megjegyezve, hogy észleli a ransomware támadásokat. 80%-kal az egekbe szökött 2022 első negyedévében, az egész tavalyi évhez képest.
A BEC csillogása felülmúlja a Ransomware-t
Daniel Thanos, az Arctic Wolf Labs alelnöke szerint a BEC-környezet rohamos állapota nem meglepő, mivel a BEC-támadások előnyt jelentenek a kiberbűnözők számára a zsarolóvírusokkal szemben. Pontosabban, a BEC-nyereség nem függ a kriptovaluta értékétől, és a támadások gyakran sikeresebbek a folyamatban lévő észrevételek elkerülésében.
„Kutatásaink azt mutatják, hogy a fenyegetettség szereplői sajnos nagyon opportunisták” – mondja.
Emiatt a BEC – amely szociális tervezést és belső rendszereket használ a vállalkozások pénzének ellopására – továbbra is erősebb bevételi forrás a kiberbűnözők számára. 2021-ben a BEC-támadások a 35 milliárd dolláros potenciális veszteség 2.4%-át, azaz 6.9 milliárd dollárt tették ki. nyomon követte az FBI Internet Crime Complaint Center (IC3), míg a zsarolóprogramok kis része (0.7%) maradt az összesnek.
A vállalkozások elleni egyéni támadásokból származó bevételek tekintetében az Arctic Wolf elemzése megjegyezte, hogy az első negyedévi váltságdíj mediánja körülbelül 450,000 XNUMX dollár volt, de a kutatócsoport nem adta meg a BEC-támadások áldozatainak átlagos veszteségét.
Pénzügyileg motivált kibertaktika megváltoztatása
Rendellenes biztonságot találtunk fenyegetési jelentésében az év elején, hogy az összes számítógépes bûnözési incidens túlnyomó többsége (81%) néhány nagyon célzott termék – nevezetesen a Microsoft Exchange szervere és a VMware Horizon virtuális asztali szoftvere –, valamint rosszul konfigurált távoli szolgáltatások, például a Microsoft által okozott sebezhetõségeket érintette. Remote Desktop Protocol (RDP).
Különösen a Microsoft Exchange javítatlan verziói vannak sebezhetőek a ProxyShell-kihasználással szemben (és most a ProxyNotShell hibák), amely három biztonsági rést használ, hogy a támadók adminisztrátori hozzáférést biztosítsanak egy Exchange-rendszerhez. Míg a Microsoft több mint egy éve javította a problémákat, a vállalat csak néhány hónappal később hozta nyilvánosságra a sebezhetőséget.
A VMware Horizon egy népszerű virtuális asztali és alkalmazástermék ki van téve a Log4Shell támadásnak amely kihasználta a hírhedt Log4j 2.0 sebezhetőségét.
Mindkét sugárút a BEC kampányait táplálják konkrétan a kutatók jegyezték meg.
Ezen túlmenően sok kiberbanda használja a vállalkozásoktól ransomware támadások során ellopott adatokat vagy hitelesítő adatokat üzemanyag BEC kampányok.
„Ahogy a szervezetek és az alkalmazottak egyre tudatosabbak egy taktikát illetően, a fenyegetés szereplői módosítani fogják stratégiájukat annak érdekében, hogy egy lépéssel az e-mail biztonsági platformok és a biztonsági tudatosság képzése előtt járjanak.” Abnormal Security mondta korábban ebben az évben. "Az ebben a kutatásban megfigyelt változások csak néhány mutató azoknak a mutatóknak, amelyek arra utalnak, hogy ezek az elmozdulások már megtörténtek, és a szervezeteknek a jövőben még többet látniuk kell."
A social engineering szintén népszerű, mint mindig. Míg a sebezhetőségek és hibás konfigurációk elleni külső támadások a legelterjedtebb módja annak, hogy a támadók hozzáférjenek a rendszerekhez, az emberi felhasználók és hitelesítő adataik továbbra is népszerű célpontok a BEC-támadásokban – mondja az Arctic Wolf's Thanos.
„A BEC-esetek gyakran szociális manipuláció eredménye, összehasonlítva a zsarolóprogramokkal, amelyeket gyakran a javítatlan sebezhetőségek vagy távoli elérési eszközök kihasználása okoz” – mondja. „Tapasztalataink szerint a fenyegetés szereplői nagyobb valószínűséggel támadnak meg egy vállalatot távoli kizsákmányolással, mint egy embert.
Hogyan kerüljük el a BEC-kompromisszumot
Az Arctic Wolf szerint az alapvető biztonsági intézkedések sokat segíthetnek abban, hogy ne váljanak áldozattá. Valójában sok BEC-támadás áldozatává vált vállalat nem rendelkezett olyan biztonsági ellenőrzésekkel, amelyek potenciálisan megakadályozhatták volna a károkat – állapította meg a vállalat elemzésében.
A kutatás például azt találta, hogy a BEC-incidenst elszenvedő cégek 80%-ánál nem volt többtényezős hitelesítés. Ezenkívül más vezérlők, például a hálózati szegmentálás és a biztonsági tudatosság képzése segíthet megakadályozni, hogy a BEC-támadások költségesek legyenek, még akkor is, ha a támadó sikeresen feltört egy külső rendszert.
"A vállalatoknak meg kell erősíteniük alkalmazottaik védelmét biztonsági képzéseken keresztül" - mondja Thanos -, de foglalkozniuk kell azokkal a sebezhető pontokkal is, amelyekre a fenyegetés szereplői összpontosítanak.
