Criminalii cibernetici văd atracție în atacurile BEC prin ransomware

În timp ce tendințele publicate în ceea ce privește atacurile ransomware au fost contradictorii – unele firme urmărind mai multe incidente, iar altele mai puține – atacurile de compromitere a e-mailurilor de afaceri (BEC) continuă să aibă succes dovedit împotriva organizațiilor.

Cazurile BEC, ca pondere din toate cazurile de răspuns la incident, s-au dublat în al doilea trimestru al anului, la 34%, de la 17% în primul trimestru al anului 2022. Aceasta este potrivit lui Arctic Wolf „1H 2022 Informații privind răspunsul la incident” raport, publicat pe 29 septembrie, care a constatat că anumite industrii – inclusiv cele financiare, asigurări, servicii de afaceri și firme de avocatură, precum și agenții guvernamentale – s-au confruntat cu mai mult de două ori numărul lor anterior de cazuri, a spus compania.

În general, numărul de atacuri BEC întâlnite pe căsuța de e-mail a crescut cu 84% în prima jumătate a anului 2022, conform datelor de la firma de securitate cibernetică Abnormal Security.

Între timp, până în acest an, rapoartele de amenințări publicate de organizații au dezvăluit tendințe contradictorii pentru ransomware. Arctic Wolf și Centrul de resurse pentru furtul de identitate (ITRC) au văzut scăderea numărului de atacuri ransomware de succes, în timp ce clienții de afaceri par să se confrunte cu ransomware mai rar, potrivit firmei de securitate Trellix. În același timp, firma de securitate a rețelei WatchGuard a avut o părere contrară, observând că detectarea atacurilor de tip ransomware a crescut cu 80% în primul trimestru al anului 2022, comparativ cu tot anul trecut.

Strălucirea BEC depășește ransomware-ul

Starea în creștere a peisajului BEC nu este surprinzătoare, spune Daniel Thanos, vicepreședintele Arctic Wolf Labs, deoarece atacurile BEC oferă infractorilor cibernetici avantaje față de ransomware. Mai exact, câștigurile BEC nu se bazează pe valoarea criptomonedei, iar atacurile au adesea mai mult succes în a scăpa de observație în timpul desfășurării.

„Cercetarea noastră arată că actorii amenințărilor sunt, din păcate, foarte oportuniști”, spune el.

Din acest motiv, BEC – care utilizează inginerie socială și sisteme interne pentru a fura fonduri de la companii – continuă să fie o sursă mai puternică de venituri pentru infractorii cibernetici. În 2021, atacurile BEC au reprezentat 35%, sau 2.4 miliarde USD, din pierderile potențiale de 6.9 ​​miliarde USD. urmărit de Centrul de plângeri pentru infracțiuni pe internet (IC3) al FBI, în timp ce ransomware-ul a rămas o mică parte (0.7%) din total. 

În ceea ce privește veniturile din atacurile individuale asupra companiilor, analiza Arctic Wolf a remarcat că răscumpărarea medie pentru primul trimestru a fost de aproximativ 450,000 USD, dar echipa de cercetare nu a furnizat pierderea medie pentru victimele atacurilor BEC.

Schimbarea tacticilor cibernetice motivate financiar

Securitate anormală găsită în raportul său de amenințare la începutul acestui an, că marea majoritate a tuturor incidentelor de criminalitate cibernetică (81%) au implicat vulnerabilități externe în câteva produse foarte vizate - și anume, serverul Microsoft Exchange și software-ul pentru desktop virtual de la VMware - precum și servicii de la distanță prost configurate, cum ar fi Microsoft. Protocolul de desktop la distanță (RDP).

Versiunile necorecte ale Microsoft Exchange, în special, sunt vulnerabile la exploitul ProxyShell (și acum la Erori ProxyNotShell), care utilizează trei vulnerabilități pentru a oferi atacatorilor acces administrativ la un sistem Exchange. În timp ce Microsoft a corectat problemele în urmă cu mai bine de un an, compania nu a făcut publice vulnerabilitățile decât câteva luni mai târziu.

VMware Horizon este un desktop virtual și un produs de aplicație popular vulnerabil la atacul Log4Shell care a exploatat vulnerabilitățile infame Log4j 2.0.

Ambele căi alimentează campaniile BEC în special, au remarcat cercetătorii. 

În plus, multe bande cibernetice folosesc date sau acreditări furate de la companii în timpul atacurilor ransomware pentru a alimenta campaniile BEC.

„Pe măsură ce organizațiile și angajații devin mai conștienți de o singură tactică, actorii amenințărilor își vor ajusta strategiile într-un efort de a rămâne cu un pas înaintea platformelor de securitate a e-mailului și a formării de conștientizare a securității.” Anormal Security a spus mai devreme anul asta. „Schimbările observate în această cercetare sunt doar câțiva dintre indicatorii că acele schimbări au loc deja, iar organizațiile ar trebui să se aștepte să vadă mai multe în viitor.”

Ingineria socială este, de asemenea, populară ca întotdeauna. În timp ce atacurile externe asupra vulnerabilităților și configurărilor greșite sunt cel mai răspândit mod prin care atacatorii obțin acces la sisteme, utilizatorii umani și acreditările lor continuă să fie o țintă populară în atacurile BEC, spune Thanos de la Arctic Wolf.

„Cazurile BEC sunt adesea rezultatul ingineriei sociale, în comparație cu cazurile de ransomware, care sunt adesea cauzate de exploatarea vulnerabilităților nepatchate sau a instrumentelor de acces la distanță”, spune el. „Din experiența noastră, este mai probabil ca actorii amenințărilor să atace o companie prin exploatare de la distanță decât să înșele un om.

Cum să evitați compromisul BEC

Pentru a evita să fii o victimă, măsurile de securitate de bază pot merge mult, a descoperit Arctic Wolf. De fapt, multe companii care au căzut pradă atacurilor BEC nu au avut controale de securitate care ar fi putut preveni pagubele, a precizat compania în analiza sa. 

De exemplu, cercetarea a constatat că 80% dintre acele companii care au suferit un incident BEC nu aveau autentificare multifactorială. În plus, alte controale, cum ar fi segmentarea rețelei și formarea de conștientizare a securității, ar putea ajuta la prevenirea ca atacurile BEC să fie costisitoare, chiar și după ce atacatorul compromite cu succes un sistem extern.

„Companiile ar trebui să-și consolideze apărarea angajaților prin instruire în materie de securitate”, spune Thanos, „dar trebuie să abordeze și vulnerabilitățile pe care se concentrează actorii amenințărilor”.