Cyberprzestępcy widzą urok w atakach BEC na ransomware

Podczas gdy opublikowane trendy ataków ransomware były sprzeczne — niektóre firmy śledzą więcej incydentów, a inne mniej — ataki na firmową pocztę e-mail (BEC) nadal okazują się sukcesem przeciwko organizacjom.

Przypadki BEC, jako udział wszystkich przypadków odpowiedzi na incydenty, wzrosły ponad dwukrotnie w drugim kwartale roku, do 34% z 17% w pierwszym kwartale 2022 r. To według Arctic Wolf's “Analiza reakcji na incydent z I połowy 1 r.” raport, opublikowany 29 września, w którym stwierdzono, że określone branże – w tym sektor finansowy, ubezpieczeniowy, usługi biznesowe i kancelarie prawne, a także agencje rządowe – doświadczyły ponad dwukrotnie większej liczby przypadków niż poprzednio.

Ogólnie rzecz biorąc, liczba ataków BEC napotkanych na skrzynkę e-mail wzrosła o 84% w pierwszej połowie 2022 r., według danych firmy zajmującej się cyberbezpieczeństwem Abnormal Security.

Tymczasem w tym roku raporty o zagrożeniach publikowane przez organizacje ujawniały sprzeczne trendy dotyczące oprogramowania ransomware. Arctic Wolf i Centrum Zasobów ds. Kradzieży Tożsamości (ITRC) widzieli spadek liczby udanych ataków ransomware, podczas gdy klienci biznesowi wydają się rzadziej spotykać oprogramowanie ransomware, według firmy ochroniarskiej Trellix. W tym samym czasie firma WatchGuard zajmująca się bezpieczeństwem sieci miała przeciwne stanowisko, zauważając, że wykrywanie ataków ransomware wzrosło o 80% w pierwszym kwartale 2022 r., w porównaniu z całym ubiegłym rokiem.

Błysk BEC przewyższa ransomware

Rosnący stan krajobrazu BEC nie jest zaskakujący, mówi Daniel Thanos, wiceprezes Arctic Wolf Labs, ponieważ ataki BEC oferują cyberprzestępcom przewagę nad oprogramowaniem ransomware. W szczególności zyski BEC nie zależą od wartości kryptowaluty, a ataki są często bardziej skuteczne, jeśli chodzi o unikanie zauważenia w trakcie.

„Nasze badania pokazują, że cyberprzestępcy są niestety bardzo oportunistyczni” – mówi.

Z tego powodu BEC — który wykorzystuje socjotechnikę i systemy wewnętrzne do kradzieży funduszy od firm — nadal jest silniejszym źródłem dochodów cyberprzestępców. W 2021 r. ataki BEC stanowiły 35%, czyli 2.4 mld USD, z 6.9 mld USD potencjalnych strat śledzone przez Internet Crime Complaint Center (IC3), podczas gdy oprogramowanie ransomware stanowiło niewielką część (0.7%) całości. 

Jeśli chodzi o przychody z pojedynczych ataków na firmy, analiza Arctic Wolf wykazała, że ​​mediana okupu za pierwszy kwartał wyniosła około 450,000 XNUMX dolarów, ale zespół badawczy nie podał średniej straty poniesionej przez ofiary ataków BEC.

Zmiana taktyki cybernetycznej motywowanej finansowo

Znaleziono nieprawidłowe zabezpieczenia w swoim raporcie o zagrożeniach na początku tego roku zdecydowana większość wszystkich incydentów związanych z cyberprzestępczością (81%) dotyczyła zewnętrznych luk w zabezpieczeniach kilku wysoce ukierunkowanych produktów — mianowicie serwera Microsoft Exchange i oprogramowania do pulpitu wirtualnego VMware Horizon — a także źle skonfigurowanych usług zdalnych, takich jak Microsoft Protokół pulpitu zdalnego (RDP).

W szczególności niezałatane wersje Microsoft Exchange są podatne na exploit ProxyShell (a teraz Błędy ProxyNotShell), która wykorzystuje trzy luki, aby dać atakującym dostęp administracyjny do systemu Exchange. Chociaż Microsoft załatał problemy ponad rok temu, firma ujawniła luki dopiero kilka miesięcy później.

VMware Horizon to popularny produkt do wirtualnego pulpitu i aplikacji podatny na atak Log4Shell który wykorzystywał niesławną lukę w Log4j 2.0.

Obie drogi napędzają kampanie BEC konkretnie, zauważyli naukowcy. 

Ponadto wiele cybergangów wykorzystuje dane lub dane uwierzytelniające skradzione firmom podczas ataków ransomware, aby: paliwowe kampanie BEC.

„W miarę jak organizacje i pracownicy stają się bardziej świadomi jednej taktyki, aktorzy zajmujący się zagrożeniami dostosują swoje strategie, starając się być o krok przed platformami bezpieczeństwa poczty e-mail i szkoleniami w zakresie świadomości bezpieczeństwa.” Nieprawidłowe bezpieczeństwo powiedział wcześniej w tym roku. „Zmiany odnotowane w tym badaniu to tylko niektóre ze wskaźników, że te zmiany już zachodzą, a organizacje powinny spodziewać się więcej w przyszłości”.

Jak zawsze popularna jest również socjotechnika. Podczas gdy zewnętrzne ataki na luki w zabezpieczeniach i błędne konfiguracje są najczęstszym sposobem, w jaki atakujący uzyskują dostęp do systemów, ludzie i ich dane uwierzytelniające nadal są popularnym celem ataków BEC, mówi Thanos z Arctic Wolf.

„Przypadki BEC są często wynikiem socjotechniki, w porównaniu do przypadków ransomware, które są często spowodowane wykorzystaniem niezałatanych luk w zabezpieczeniach lub narzędzi zdalnego dostępu” – mówi. „Z naszego doświadczenia wynika, że ​​cyberprzestępcy częściej atakują firmę za pomocą zdalnego exploita niż oszukują człowieka.

Jak uniknąć kompromisu BEC

Arctic Wolf odkrył, że aby uniknąć bycia ofiarą, podstawowe środki bezpieczeństwa mogą być bardzo skuteczne. W rzeczywistości wiele firm, które padły ofiarą ataków BEC, nie posiadało mechanizmów kontroli bezpieczeństwa, które potencjalnie mogłyby zapobiec szkodom, stwierdziła firma w swojej analizie. 

Na przykład badanie wykazało, że 80% firm, które doświadczyły incydentu BEC, nie posiadało uwierzytelniania wieloskładnikowego. Ponadto inne środki kontroli, takie jak segmentacja sieci i szkolenie w zakresie świadomości bezpieczeństwa, mogą pomóc w zapobieganiu kosztownym atakom BEC, nawet po udanym złamaniu systemu zewnętrznego przez atakującego.

„Firmy powinny wzmocnić ochronę swoich pracowników poprzez szkolenia w zakresie bezpieczeństwa”, mówi Thanos, „ale muszą także zająć się lukami, na których skupiają się cyberprzestępcy”.