בעוד שהמגמות שפורסמו בהתקפות כופר היו סותרות - עם חברות מסוימות שעוקבות אחר תקריות נוספות ואחרות פחות - התקפות של סיכון דוא"ל עסקי (BEC) ממשיכות להצליח מוכחות נגד ארגונים.
מקרי BEC, כחלק מכל מקרי התגובה לאירועים, יותר מהכפילו את עצמם ברבעון השני של השנה, ל-34% מ-17% ברבעון הראשון של 2022. כך על פי דיווח של Arctic Wolf.1H 2022 Insight Response Insightsדו"ח, שפורסם ב-29 בספטמבר, שמצא כי תעשיות ספציפיות - כולל פיננסים, ביטוח, שירותים עסקיים ומשרדי עורכי דין, כמו גם סוכנויות ממשלתיות - חוו יותר מכפול ממספר התיקים הקודם שלהם, אמרה החברה.
בסך הכל, מספר התקפות BEC שנתקלו בכל תיבת דואר אלקטרוני גדל ב-84% במחצית הראשונה של 2022, על פי נתונים של חברת אבטחת הסייבר Abnormal Security.
בינתיים, עד כה השנה, דוחות איומים שפורסמו על ידי ארגונים חשפו מגמות סותרות לגבי תוכנות כופר. Arctic Wolf והמרכז לגניבת זהות (ITRC) ראו ירידה במספר התקפות כופר מוצלחות, בעוד שנראה שלקוחות עסקיים נתקלים בתדירות נמוכה יותר של תוכנות כופר, לפי חברת האבטחה Trellix. במקביל, לחברת אבטחת הרשת WatchGuard הייתה גישה הפוכה, וציינה שזיהוי התקפות כופר שלה זינק ב-80% ברבעון הראשון של 2022, בהשוואה לכל השנה שעברה.
הזוהר של BEC מתגבר על תוכנות הכופר
המצב הגואה של נוף BEC אינו מפתיע, אומר דניאל תאנוס, סגן נשיא Arctic Wolf Labs, מכיוון שהתקפות BEC מציעות לפושעי סייבר יתרונות על פני תוכנות כופר. באופן ספציפי, רווחי BEC אינם מסתמכים על הערך של מטבעות קריפטוגרפיים, ולעתים קרובות התקפות מצליחות יותר לברוח מהודעה תוך כדי ביצוע.
"המחקר שלנו מראה שגורמי איומים הם למרבה הצער מאוד אופורטוניסטים", הוא אומר.
מסיבה זו, BEC - המשתמשת בהנדסה חברתית ובמערכות פנימיות כדי לגנוב כספים מעסקים - ממשיכה להיות מקור הכנסה חזק יותר לפושעי סייבר. בשנת 2021, התקפות BEC היוו 35%, או 2.4 מיליארד דולר, מתוך 6.9 מיליארד ההפסדים הפוטנציאליים. עוקב על ידי מרכז תלונות הפשע באינטרנט של ה-FBI (IC3), בעוד תוכנות כופר נותרו חלק קטן (0.7%) מהסך הכל.
במונחים של הכנסות מהתקפות בודדות על עסקים, ניתוח Arctic Wolf ציין כי הכופר החציוני ברבעון הראשון היה כ-450,000 דולר, אך צוות המחקר לא סיפק את ההפסד הממוצע לקורבנות התקפות BEC.
שינוי טקטיקות סייבר עם מוטיבציה כלכלית
נמצא אבטחה חריגה בדוח האיומים שלה מוקדם יותר השנה כי הרוב המכריע של כל אירועי פשעי הסייבר (81%) כלל פגיעויות חיצוניות בכמה מוצרים ממוקדים במיוחד - כלומר, שרת ה-Exchange של מיקרוסופט ותוכנת Horizon לשולחן העבודה הוירטואלי של VMware - כמו גם שירותים מרוחקים שאינם מוגדרים כהלכה, כגון מיקרוסופט. פרוטוקול שולחן עבודה מרוחק (RDP).
גרסאות לא מתוקנות של Microsoft Exchange במיוחד פגיעות לניצול ProxyShell (ועכשיו באגים של ProxyNotShell), המשתמשת בשלוש נקודות תורפה כדי לתת לתוקפים גישה מנהלתית למערכת Exchange. בעוד שמיקרוסופט תיקנה את הבעיות לפני יותר משנה, החברה לא פרסמה את נקודות התורפה עד כמה חודשים לאחר מכן.
VMware Horizon הוא מוצר שולחן עבודה ואפליקציות וירטואלי פופולרי פגיע להתקפת Log4Shell שניצלו את נקודות התורפה הידוע לשמצה של Log4j 2.0.
שתי השדרות מתדלקים קמפיינים של BEC באופן ספציפי, ציינו חוקרים.
בנוסף, כנופיות סייבר רבות משתמשות בנתונים או אישורים שנגנבו מעסקים במהלך התקפות כופר כדי דלק קמפיינים של BEC.
"ככל שארגונים ועובדים הופכים מודעים יותר לטקטיקה אחת, גורמי איומים יתאימו את האסטרטגיות שלהם במאמץ להישאר צעד אחד לפני פלטפורמות אבטחת דוא"ל והדרכה למודעות אבטחה." אמר ביטחון אבנורמלי מוקדם יותר השנה. "השינויים שצוינו במחקר זה הם רק חלק מהאינדיקטורים לכך שהשינויים הללו כבר מתרחשים, וארגונים צריכים לצפות לראות יותר בעתיד."
גם הנדסה חברתית פופולרית, כתמיד. בעוד שהתקפות חיצוניות על פגיעויות ותצורות שגויות הן הדרך הנפוצה ביותר שבה תוקפים מקבלים גישה למערכות, משתמשים אנושיים והאישורים שלהם ממשיכים להיות יעד פופולרי בהתקפות BEC, אומר Thanos של Arctic Wolf.
"מקרים של BEC הם לרוב תוצאה של הנדסה חברתית, בהשוואה למקרים של תוכנות כופר, שנגרמות לרוב מניצול של פגיעויות שטרם תוקנו או כלי גישה מרחוק", הוא אומר. "מניסיוננו, גורמי איומים נוטים יותר לתקוף חברה באמצעות ניצול מרחוק מאשר לרמות אדם.
כיצד להימנע מתפשרת BEC
כדי להימנע מלהיות קורבן, אמצעי אבטחה בסיסיים יכולים להגיע רחוק, מצא Arctic Wolf. למעשה, לחברות רבות שנפלו קורבן להתקפות BEC לא היו בקרות אבטחה שעלולות היו למנוע נזק, ציינה החברה בניתוח שלה.
לדוגמה, המחקר מצא כי ל-80% מאותן חברות שסבלו מתקרית BEC לא הייתה אימות רב-גורמי במקום. בנוסף, בקרות אחרות, כגון פילוח רשת והדרכה למודעות אבטחה, עשויות לסייע במניעת התקפות BEC מלהיות יקרות, גם לאחר שהתוקף יסכן בהצלחה מערכת חיצונית.
"חברות צריכות לחזק את הגנת העובדים שלהן באמצעות הדרכת אבטחה", אומר ת'אנוס, "אבל הן גם צריכות לטפל בפגיעויות שבהן מתמקדים גורמי האיומים".
