Selv om publiserte trender innen løsepengevare-angrep har vært motstridende – med noen firmaer som sporer flere hendelser og andre færre – fortsetter virksomhetens e-postkompromissangrep (BEC) å ha bevist suksess mot organisasjoner.
BEC-saker, som andel av alle hendelsesreaksjonssaker, mer enn doblet seg i årets andre kvartal, til 34 % fra 17 % i første kvartal 2022. Det er ifølge Arctic Wolfs «1H 2022 Incident Response Insights”-rapport, publisert 29. september, som fant at spesifikke bransjer – inkludert finans, forsikring, forretningstjenester og advokatfirmaer, så vel som offentlige etater – opplevde mer enn det dobbelte av det tidligere antallet saker, sa selskapet.
Totalt sett har antallet BEC-angrep per e-postboks vokst med 84 % i første halvdel av 2022, ifølge data fra cybersikkerhetsfirmaet Abnormal Security.
I mellomtiden, så langt i år, har trusselrapporter utgitt av organisasjoner avslørt motstridende trender for løsepengevare. Arctic Wolf og Identity Theft Resource Center (ITRC) har sett fall i antall vellykkede løsepengevare-angrep, mens bedriftskunder ser ut til å støte på løsepengevare sjeldnere, ifølge sikkerhetsfirmaet Trellix. Samtidig hadde nettverkssikkerhetsfirmaet WatchGuard en motsatt oppfatning, og la merke til at det oppdaget løsepenge-angrep skutt i været med 80 % i første kvartal 2022sammenlignet med hele fjoråret.
Glimtet fra BEC overstråler ransomware
Den økende tilstanden til BEC-landskapet er ikke overraskende, sier Daniel Thanos, visepresident for Arctic Wolf Labs, fordi BEC-angrep gir nettkriminelle fordeler fremfor løsepengevare. Nærmere bestemt er BEC-gevinster ikke avhengig av verdien av kryptovaluta, og angrep er ofte mer vellykkede når det gjelder å unngå varsel mens de pågår.
"Vår forskning viser at trusselaktører dessverre er veldig opportunistiske," sier han.
Av den grunn fortsetter BEC – som bruker sosial teknikk og interne systemer for å stjele midler fra bedrifter – å være en sterkere inntektskilde for nettkriminelle. I 2021 utgjorde BEC-angrep 35 %, eller 2.4 milliarder dollar, av de potensielle tapene på 6.9 milliarder dollar spores av FBIs Internet Crime Complaint Center (IC3), mens løsepengevare forble en liten brøkdel (0.7 %) av totalen.
Når det gjelder inntekter fra individuelle angrep på bedrifter, bemerket Arctic Wolf-analysen at median løsepenger for første kvartal var omtrent $450,000 XNUMX, men forskerteamet ga ikke det gjennomsnittlige tapet for ofre for BEC-angrep.
Endre økonomisk motiverte cybertaktikker
Unormal sikkerhet funnet i sin trusselrapport tidligere i år at at det store flertallet av alle cyberkriminalitetshendelser (81 %) involverte eksterne sårbarheter i noen få svært målrettede produkter – nemlig Microsofts Exchange-server og VMwares Horizon virtuelle skrivebordsprogramvare – samt dårlig konfigurerte eksterne tjenester, som Microsofts Remote Desktop Protocol (RDP).
Ikke-patchede versjoner av Microsoft Exchange er spesielt sårbare for ProxyShell-utnyttelsen (og nå ProxyNotShell-feil), som bruker tre sårbarheter for å gi angripere administrativ tilgang til et Exchange-system. Mens Microsoft løste problemene for mer enn et år siden, publiserte ikke selskapet sikkerhetsproblemene før noen måneder senere.
VMware Horizon er et populært virtuelt skrivebord og app-produkt sårbar for Log4Shell-angrepet som utnyttet de beryktede Log4j 2.0-sårbarhetene.
Begge veier driver BEC-kampanjer spesifikt, har forskere bemerket.
I tillegg bruker mange cybergjenger data eller legitimasjon stjålet fra bedrifter under løsepenge-angrep for å drivstoff BEC-kampanjer.
"Når organisasjoner og ansatte blir mer bevisste på én taktikk, vil trusselaktører justere sine strategier i et forsøk på å ligge et skritt foran e-postsikkerhetsplattformer og opplæring i sikkerhetsbevissthet," Abnormal Security sa tidligere i år. "Endringene som er notert i denne forskningen er bare noen av indikatorene på at disse endringene allerede skjer, og organisasjoner bør forvente å se mer i fremtiden."
Sosial ingeniørkunst er også populært, som alltid. Mens eksterne angrep på sårbarheter og feilkonfigurasjoner er den mest utbredte måten angripere får tilgang til systemer på, fortsetter menneskelige brukere og deres legitimasjon å være et populært mål i BEC-angrep, sier Arctic Wolfs Thanos.
"BEC-tilfeller er ofte et resultat av sosial manipulering, sammenlignet med løsepengevaresaker, som ofte er forårsaket av utnyttelse av uopprettede sårbarheter eller fjerntilgangsverktøy," sier han. "Etter vår erfaring er det mer sannsynlig at trusselaktører angriper et selskap via ekstern utnyttelse enn å lure et menneske.
Slik unngår du BEC-kompromittering
For å unngå å bli et offer kan grunnleggende sikkerhetstiltak gå langt, fant Arctic Wolf. Faktisk hadde mange selskaper som ble offer for BEC-angrep ikke sikkerhetskontroller som potensielt kunne ha forhindret skade, uttalte selskapet i sin analyse.
For eksempel fant forskningen at 80 % av de selskapene som lider av en BEC-hendelse ikke hadde noen multifaktorautentisering på plass. I tillegg kan andre kontroller, som nettverkssegmentering og opplæring i sikkerhetsbevissthet, bidra til å forhindre at BEC-angrep blir kostbare, selv etter at angriperen har kompromittert et eksternt system.
«Bedrifter bør styrke sine ansattes forsvar gjennom sikkerhetsopplæring,» sier Thanos, «men de må også ta tak i sårbarhetene som trusselaktører fokuserer på.»
