Hoewel de gepubliceerde trends in ransomware-aanvallen tegenstrijdig zijn - sommige bedrijven volgen meer incidenten en andere minder - blijven zakelijke e-mailcompromisaanvallen (BEC) bewezen succes hebben tegen organisaties.
BEC-gevallen, als aandeel van alle incident-responsgevallen, zijn in het tweede kwartaal van het jaar meer dan verdubbeld, van 34% in het eerste kwartaal van 17 tot 2022%. Dat is volgens Arctic Wolf's "1H 2022 Inzichten over incidentresponsโ-rapport, gepubliceerd op 29 september, waarin werd vastgesteld dat specifieke sectoren โ waaronder financiรซle, verzekerings-, zakelijke dienstverlening en advocatenkantoren, evenals overheidsinstanties โ meer dan het dubbele van hun eerdere aantal gevallen meemaakten, aldus het bedrijf.
In totaal is het aantal BEC-aanvallen dat per e-mailbox wordt aangetroffen in de eerste helft van 84 met 2022% gestegen, volgens gegevens van cyberbeveiligingsbedrijf Abnormal Security.
Ondertussen hebben tot dusverre dit jaar door organisaties gepubliceerde dreigingsrapporten tegenstrijdige trends voor ransomware aan het licht gebracht. Arctic Wolf en het Identity Theft Resource Center (ITRC) hebben gezien: daling van het aantal succesvolle ransomware-aanvallen, terwijl zakelijke klanten minder vaak met ransomware te maken lijken te hebben, volgens beveiligingsbedrijf Trellix. Tegelijkertijd had netwerkbeveiligingsbedrijf WatchGuard een tegengestelde mening en merkte op dat de detectie van ransomware-aanvallen steeg met 80% in het eerste kwartaal van 2022, vergeleken met heel vorig jaar.
De glans van BEC overtreft ransomware
De stijgende staat van het BEC-landschap is niet verrassend, zegt Daniel Thanos, vice-president van Arctic Wolf Labs, omdat BEC-aanvallen cybercriminelen voordelen bieden ten opzichte van ransomware. In het bijzonder zijn BEC-winsten niet afhankelijk van de waarde van cryptocurrency, en aanvallen zijn vaak succesvoller om aan de aandacht te ontsnappen terwijl ze aan de gang zijn.
"Ons onderzoek toont aan dat dreigingsactoren helaas erg opportunistisch zijn", zegt hij.
Om die reden blijft BEC, dat social engineering en interne systemen gebruikt om geld van bedrijven te stelen, een sterkere bron van inkomsten voor cybercriminelen. In 2021 waren BEC-aanvallen goed voor 35%, of $ 2.4 miljard, van de $ 6.9 miljard aan potentiรซle verliezen gevolgd door het Internet Crime Complaint Center (IC3) van de FBI, terwijl ransomware een kleine fractie (0.7%) van het totaal bleef.
In termen van inkomsten uit individuele aanvallen op bedrijven, merkte de Arctic Wolf-analyse op dat het gemiddelde losgeld voor het eerste kwartaal ongeveer $ 450,000 was, maar het onderzoeksteam gaf niet het gemiddelde verlies voor slachtoffers van BEC-aanvallen.
Verschuivende financieel gemotiveerde cybertactieken
Abnormale beveiliging gevonden in zijn dreigingsrapport eerder dit jaar dat de overgrote meerderheid van alle cybercriminaliteitsincidenten (81%) betrekking had op externe kwetsbaarheden in een paar zeer gerichte producten - namelijk Microsoft's Exchange-server en VMware's Horizon virtuele-desktopsoftware - evenals slecht geconfigureerde externe services, zoals Microsoft's Extern bureaublad-protocol (RDP).
Vooral niet-gepatchte versies van Microsoft Exchange zijn kwetsbaar voor de ProxyShell-exploit (en nu de ProxyNotShell-bugs), die drie kwetsbaarheden gebruikt om aanvallers beheerderstoegang tot een Exchange-systeem te geven. Hoewel Microsoft de problemen meer dan een jaar geleden heeft gepatcht, maakte het bedrijf de kwetsbaarheden pas een paar maanden later bekend.
VMware Horizon is een populair virtueel desktop- en app-product kwetsbaar voor de Log4Shell-aanval dat misbruik maakte van de beruchte Log4j 2.0-kwetsbaarheden.
Beide wegen voeden BEC-campagnes in het bijzonder hebben onderzoekers opgemerkt.
Bovendien gebruiken veel cyberbendes gegevens of inloggegevens die tijdens ransomware-aanvallen van bedrijven zijn gestolen om: brandstof BEC-campagnes.
"Naarmate organisaties en werknemers zich meer bewust worden van รฉรฉn tactiek, zullen dreigingsactoren hun strategieรซn aanpassen in een poging om e-mailbeveiligingsplatforms en beveiligingsbewustzijnstraining een stap voor te blijven," Abnormale beveiliging zei: eerder dit jaar. "De veranderingen die in dit onderzoek zijn opgemerkt, zijn slechts enkele van de indicatoren dat die verschuivingen al plaatsvinden, en organisaties zouden in de toekomst meer mogen verwachten."
Social engineering is ook populair, zoals altijd. Hoewel externe aanvallen op kwetsbaarheden en verkeerde configuraties de meest voorkomende manier zijn waarop aanvallers toegang krijgen tot systemen, blijven menselijke gebruikers en hun inloggegevens een populair doelwit bij BEC-aanvallen, zegt Thanos van Arctic Wolf.
"BEC-gevallen zijn vaak het resultaat van social engineering, vergeleken met gevallen van ransomware, die vaak worden veroorzaakt door misbruik van niet-gepatchte kwetsbaarheden of tools voor externe toegang", zegt hij. โIn onze ervaring is de kans groter dat dreigingsactoren een bedrijf aanvallen via externe exploits dan een mens te bedriegen.
Hoe BEC-compromis te vermijden?
Om geen slachtoffer te worden, kunnen elementaire veiligheidsmaatregelen een lange weg gaan, ontdekte Arctic Wolf. In feite hadden veel bedrijven die ten prooi vielen aan BEC-aanvallen geen beveiligingscontroles die mogelijk schade hadden kunnen voorkomen, verklaarde het bedrijf in zijn analyse.
Uit het onderzoek bleek bijvoorbeeld dat 80% van de bedrijven met een BEC-incident geen multifactor-authenticatie had. Daarnaast kunnen andere controles, zoals netwerksegmentatie en training voor beveiligingsbewustzijn, helpen voorkomen dat BEC-aanvallen kostbaar worden, zelfs nadat de aanvaller met succes een extern systeem heeft gehackt.
"Bedrijven moeten de verdediging van hun werknemers versterken door middel van beveiligingstraining", zegt Thanos, "maar ze moeten ook de kwetsbaarheden aanpakken waar dreigingsactoren zich op richten."
