Киберпреступники видят привлекательность в атаках BEC через программы-вымогатели

Несмотря на то, что опубликованные тенденции атак программ-вымогателей противоречивы — одни фирмы отслеживают больше инцидентов, а другие — меньше, атаки компрометации деловой электронной почты (BEC) по-прежнему доказали свою эффективность против организаций.

Случаи BEC, как доля всех случаев реагирования на инциденты, увеличились более чем вдвое во втором квартале года до 34% с 17% в первом квартале 2022 года.Анализ реагирования на инциденты за первое полугодие 1 г.», опубликованный 29 сентября, в котором говорится, что в конкретных отраслях, включая финансовые, страховые, бизнес-услуги и юридические фирмы, а также в государственных учреждениях, число дел увеличилось более чем вдвое по сравнению с предыдущим, говорится в сообщении компании.

В целом количество BEC-атак на один почтовый ящик выросло на 84 % в первой половине 2022 года. согласно данным фирмы по кибербезопасности Abnormal Security.

Между тем, в этом году отчеты об угрозах, опубликованные организациями, выявили противоречивые тенденции в отношении программ-вымогателей. Arctic Wolf и Ресурсный центр по краже личных данных (ITRC) снижается количество успешных атак программ-вымогателей, в то время как бизнес-клиенты реже сталкиваются с программами-вымогателями, по данным охранной фирмы Trellix. В то же время компания WatchGuard, занимающаяся сетевой безопасностью, высказала противоположное мнение, отметив, что ее обнаружение атак программ-вымогателей взлетел на 80% в первом квартале 2022 года., по сравнению со всем прошлым годом.

Блеск BEC затмевает программы-вымогатели

Растущий ландшафт BEC неудивителен, говорит Даниэль Танос, вице-президент Arctic Wolf Labs, потому что атаки BEC предлагают киберпреступникам преимущества перед программами-вымогателями. В частности, прибыль BEC не зависит от стоимости криптовалюты, и атаки часто более успешны, когда их не замечают в процессе.

«Наше исследование показывает, что злоумышленники, к сожалению, очень оппортунистичны, — говорит он.

По этой причине BEC, который использует социальную инженерию и внутренние системы для кражи средств у предприятий, продолжает оставаться более сильным источником дохода для киберпреступников. В 2021 году на BEC-атаки приходилось 35%, или 2.4 миллиарда долларов, из 6.9 миллиарда долларов потенциальных убытков. отслеживается Центром жалоб на интернет-преступления ФБР (IC3), в то время как программы-вымогатели составляли небольшую долю (0.7%) от общего числа. 

Что касается доходов от отдельных атак на бизнес, анализ Arctic Wolf отметил, что средний выкуп за первый квартал составил около 450,000 XNUMX долларов, но исследовательская группа не представила средние потери жертв BEC-атак.

Изменение финансово мотивированной кибер-тактики

Обнаружена аномальная безопасность в своем отчете об угрозах Ранее в этом году подавляющее большинство всех инцидентов с киберпреступлениями (81%) были связаны с внешними уязвимостями в нескольких узкоспециализированных продуктах, а именно в сервере Microsoft Exchange и программном обеспечении для виртуальных рабочих столов VMware Horizon, а также в плохо настроенных удаленных службах, таких как Microsoft Протокол удаленного рабочего стола (RDP).

В частности, непропатченные версии Microsoft Exchange уязвимы для эксплойта ProxyShell (и теперь Ошибки ProxyNotShell), который использует три уязвимости, чтобы предоставить злоумышленникам административный доступ к системе Exchange. Хотя Microsoft исправила проблемы более года назад, компания не сообщала об уязвимостях до нескольких месяцев спустя.

VMware Horizon — популярный продукт для виртуальных рабочих столов и приложений. уязвим для атаки Log4Shell которые использовали печально известные уязвимости Log4j 2.0.

Оба проспекта подпитывают кампании BEC в частности, отмечают исследователи. 

Кроме того, многие кибер-банды используют данные или учетные данные, украденные у предприятий во время атак программ-вымогателей, чтобы подпитывать кампании BEC.

«По мере того, как организации и сотрудники все больше узнают об одной тактике, злоумышленники будут корректировать свои стратегии, чтобы оставаться на шаг впереди платформ безопасности электронной почты и обучения по повышению осведомленности о безопасности», Ненормальная служба безопасности сказала Ранее в этом году. «Изменения, отмеченные в этом исследовании, — лишь некоторые из показателей того, что эти сдвиги уже происходят, и организации должны ожидать большего в будущем».

Социальная инженерия тоже популярна, как никогда. В то время как внешние атаки на уязвимости и неправильные конфигурации являются наиболее распространенным способом получения злоумышленниками доступа к системам, пользователи-люди и их учетные данные продолжают оставаться популярной целью для атак BEC, говорит Танос из Arctic Wolf.

«Случаи BEC часто являются результатом социальной инженерии, по сравнению со случаями программ-вымогателей, которые часто вызваны эксплуатацией незакрытых уязвимостей или инструментов удаленного доступа», — говорит он. «По нашему опыту, злоумышленники с большей вероятностью атакуют компанию с помощью удаленного эксплойта, чем обманывают человека.

Как избежать компрометации BEC

Арктический Волк обнаружил, что базовые меры безопасности могут иметь большое значение, чтобы не стать жертвой. На самом деле, многие компании, ставшие жертвами BEC-атак, не имели средств контроля безопасности, которые потенциально могли бы предотвратить ущерб, заявила компания в своем анализе. 

Например, исследование показало, что 80% компаний, пострадавших от BEC-инцидентов, не используют многофакторную аутентификацию. Кроме того, другие элементы управления, такие как сегментация сети и обучение по вопросам безопасности, могут помочь предотвратить дорогостоящие атаки BEC даже после того, как злоумышленник успешно скомпрометировал внешнюю систему.

«Компании должны укреплять защиту своих сотрудников с помощью обучения безопасности, — говорит Танос, — но им также необходимо устранять уязвимости, на которые обращают внимание злоумышленники».