Cibercriminosos veem fascínio em ataques BEC por ransomware

Embora as tendências publicadas em ataques de ransomware tenham sido contraditórias – com algumas empresas rastreando mais incidentes e outras menos – os ataques de comprometimento de e-mail comercial (BEC) continuam a ter sucesso comprovado contra as organizações.

Os casos de BEC, como parcela de todos os casos de resposta a incidentes, mais que dobraram no segundo trimestre do ano, para 34%, de 17% no primeiro trimestre de 2022. Isso é de acordo com o estudo da Arctic Wolf “Insights de resposta a incidentes do primeiro semestre de 1”Relatório, publicado em 29 de setembro, que descobriu que setores específicos – incluindo finanças, seguros, serviços empresariais e escritórios de advocacia, bem como agências governamentais – experimentaram mais do que o dobro do número anterior de casos, disse a empresa.

No geral, o número de ataques BEC encontrados por caixa de e-mail cresceu 84% no primeiro semestre de 2022, de acordo com dados da empresa de segurança cibernética Abnormal Security.

Enquanto isso, até agora neste ano, relatórios de ameaças divulgados por organizações revelaram tendências contraditórias para ransomware. Arctic Wolf e o Identity Theft Resource Center (ITRC) viram queda no número de ataques de ransomware bem-sucedidos, embora os clientes empresariais pareçam encontrar ransomware com menos frequência, de acordo com a empresa de segurança Trellix. Ao mesmo tempo, a empresa de segurança de rede WatchGuard tomou uma posição contrária, observando que sua detecção de ataques de ransomware disparou 80% no primeiro trimestre de 2022, em comparação com todo o ano passado.

O brilho do BEC supera o ransomware

O estado crescente do cenário BEC não é surpreendente, diz Daniel Thanos, vice-presidente do Arctic Wolf Labs, porque os ataques BEC oferecem vantagens aos cibercriminosos sobre o ransomware. Especificamente, os ganhos do BEC não dependem do valor da criptomoeda, e os ataques costumam ser mais bem-sucedidos quando passam despercebidos durante o andamento.

“Nossa pesquisa mostra que os agentes de ameaças são, infelizmente, muito oportunistas”, diz ele.

Por esse motivo, o BEC — que utiliza engenharia social e sistemas internos para roubar fundos de empresas — continua a ser uma fonte de receita mais forte para os cibercriminosos. Em 2021, os ataques BEC representaram 35%, ou US$ 2.4 bilhões, dos US$ 6.9 bilhões em perdas potenciais rastreado pelo Internet Crime Complaint Center (IC3) do FBI, enquanto o ransomware permaneceu como uma pequena fração (0.7%) do total. 

Em termos de receita de ataques individuais a empresas, a análise da Arctic Wolf observou que o resgate médio no primeiro trimestre foi de cerca de US$ 450,000, mas a equipe de pesquisa não forneceu a perda média para as vítimas de ataques BEC.

Mudando as táticas cibernéticas com motivação financeira

Segurança anormal encontrada em seu relatório de ameaças no início deste ano que a grande maioria de todos os incidentes de crimes cibernéticos (81%) envolveu vulnerabilidades externas em alguns produtos altamente direcionados — ou seja, o servidor Exchange da Microsoft e o software de desktop virtual Horizon da VMware — bem como serviços remotos mal configurados, como o da Microsoft Protocolo de área de trabalho remota (RDP).

As versões sem correção do Microsoft Exchange, em particular, são vulneráveis ​​à exploração do ProxyShell (e agora ao Erros do ProxyNotShell), que usa três vulnerabilidades para conceder aos invasores acesso administrativo a um sistema Exchange. Embora a Microsoft tenha corrigido os problemas há mais de um ano, a empresa só divulgou as vulnerabilidades alguns meses depois.

VMware Horizon é um popular produto de desktop virtual e aplicativo vulnerável ao ataque Log4Shell que explorou as infames vulnerabilidades do Log4j 2.0.

Ambas as avenidas estão alimentando campanhas BEC especificamente, observaram os pesquisadores. 

Além disso, muitas gangues cibernéticas usam dados ou credenciais roubadas de empresas durante ataques de ransomware para abastecer campanhas BEC.

“À medida que as organizações e os funcionários se tornam mais conscientes de uma tática, os agentes de ameaças ajustarão suas estratégias em um esforço para ficar um passo à frente das plataformas de segurança de e-mail e do treinamento de conscientização de segurança”, Segurança anormal disse no início deste ano. “As mudanças observadas nesta investigação são apenas alguns dos indicadores de que essas mudanças já estão a ocorrer, e as organizações devem esperar ver mais no futuro.”

A engenharia social também é popular, como sempre. Embora os ataques externos a vulnerabilidades e configurações incorretas sejam a forma mais comum de os invasores obterem acesso aos sistemas, os usuários humanos e suas credenciais continuam a ser um alvo popular em ataques BEC, diz Thanos da Arctic Wolf.

“Os casos de BEC são frequentemente o resultado de engenharia social, em comparação com os casos de ransomware, que muitas vezes são causados ​​pela exploração de vulnerabilidades não corrigidas ou ferramentas de acesso remoto”, diz ele. “Em nossa experiência, os agentes de ameaças têm maior probabilidade de atacar uma empresa por meio de exploração remota do que enganar um ser humano.

Como evitar o compromisso do BEC

Para evitar ser uma vítima, medidas básicas de segurança podem ajudar muito, descobriu a Arctic Wolf. Na verdade, muitas empresas vítimas de ataques BEC não tinham controles de segurança que potencialmente pudessem ter evitado danos, afirmou a empresa em sua análise. 

Por exemplo, a pesquisa descobriu que 80% das empresas que sofreram um incidente BEC não tinham autenticação multifatorial em vigor. Além disso, outros controlos, como a segmentação da rede e a formação em sensibilização para a segurança, podem ajudar a evitar que os ataques BEC sejam dispendiosos, mesmo depois de o atacante ter comprometido com sucesso um sistema externo.

“As empresas devem fortalecer as defesas de seus funcionários por meio de treinamento em segurança”, diz Thanos, “mas também precisam abordar as vulnerabilidades nas quais os agentes de ameaças se concentram”.