Kibernetski kriminalci vidijo privlačnost v napadih BEC z izsiljevalsko programsko opremo

Medtem ko so bili objavljeni trendi v napadih z izsiljevalsko programsko opremo protislovni – nekatera podjetja sledijo več incidentom, druga pa manj – so napadi na poslovno e-pošto (BEC) še vedno dokazano uspešni proti organizacijam.

Primeri BEC, kot delež vseh primerov odziva na incidente, so se v drugem četrtletju leta več kot podvojili, na 34 % s 17 % v prvem četrtletju leta 2022. To je glede na Arctic Wolf's “Vpogled v odziv na incidente za prvo polletje 1” Poročilo, objavljeno 29. septembra, v katerem je bilo ugotovljeno, da so določene panoge – vključno s finančnimi, zavarovalniškimi, poslovnimi storitvami in odvetniškimi pisarnami ter vladnimi agencijami – doživele več kot dvakrat večje število primerov kot prejšnje, so sporočili iz družbe.

Na splošno se je število napadov BEC na e-poštni predal v prvi polovici leta 84 povečalo za 2022 %, po podatkih podjetja za kibernetsko varnost Abnormal Security.

Medtem so do letos poročila o grožnjah, ki so jih objavile organizacije, razkrila protislovne trende za izsiljevalsko programsko opremo. Arctic Wolf in Center za vire o kraji identitete (ITRC) sta videla upada število uspešnih napadov z izsiljevalsko programsko opremo, medtem ko se zdi, da se poslovne stranke redkeje srečujejo z izsiljevalsko programsko opremo, glede na varnostno podjetje Trellix. Hkrati je imelo podjetje za omrežno varnost WatchGuard nasprotno mnenje, pri čemer je opozorilo, da njegovo odkrivanje napadov izsiljevalske programske opreme v prvem četrtletju leta 80 skokovito narasla za 2022 %, v primerjavi z vsem lanskim letom.

Sijaj BEC zasenči izsiljevalsko programsko opremo

Naraščajoče stanje pokrajine BEC ni presenetljivo, pravi Daniel Thanos, podpredsednik Arctic Wolf Labs, saj napadi BEC kibernetskim kriminalcem ponujajo prednosti pred izsiljevalsko programsko opremo. Natančneje, pridobitve BEC niso odvisne od vrednosti kriptovalute in napadi so pogosto uspešnejši pri izogibanju pozornosti, medtem ko potekajo.

"Naše raziskave kažejo, da so akterji groženj na žalost zelo oportunistični," pravi.

Iz tega razloga je BEC – ki uporablja socialni inženiring in notranje sisteme za krajo sredstev podjetjem – še naprej močnejši vir prihodkov za kibernetske kriminalce. Leta 2021 so napadi BEC predstavljali 35 % ali 2.4 milijarde USD od 6.9 milijarde USD potencialnih izgub. sledi FBI-jevemu centru za pritožbe o internetnem kriminalu (IC3), medtem ko je izsiljevalska programska oprema ostala majhen delež (0.7 %) celotnega števila. 

Kar zadeva prihodke od posameznih napadov na podjetja, je analiza Arctic Wolf ugotovila, da je bila povprečna odkupnina za prvo četrtletje približno 450,000 USD, vendar raziskovalna skupina ni navedla povprečne izgube za žrtve napadov BEC.

Sprememba finančno motivirane kibernetske taktike

Najdena nenormalna varnost v svojem poročilu o grožnjah v začetku tega leta je velika večina vseh incidentov kibernetske kriminalitete (81 %) vključevala zunanje ranljivosti v nekaj visoko ciljanih izdelkih – in sicer Microsoftovem strežniku Exchange in programski opremi Horizon za virtualno namizje VMware – ter slabo konfiguriranih oddaljenih storitvah, kot je Microsoftova Protokol oddaljenega namizja (RDP).

Zlasti nepopravljene različice Microsoft Exchange so ranljive za izkoriščanje lupine ProxyShell (in zdaj Napake ProxyNotShell), ki uporablja tri ranljivosti, da napadalcem omogoči skrbniški dostop do sistema Exchange. Medtem ko je Microsoft težave odpravil pred več kot enim letom, je podjetje ranljivosti objavilo šele nekaj mesecev pozneje.

VMware Horizon je priljubljen virtualni namizni in aplikacijski izdelek ranljiv za napad Log4Shell ki je izkoriščal zloglasne ranljivosti Log4j 2.0.

Obe aveniji spodbujajo kampanje BEC zlasti so ugotovili raziskovalci. 

Poleg tega številne kibernetske tolpe uporabljajo podatke ali poverilnice, ukradene podjetjem med napadi z izsiljevalsko programsko opremo, da goriva BEC kampanje.

"Ko se organizacije in zaposleni bolj zavedajo ene taktike, bodo akterji groženj prilagodili svoje strategije, da bi ostali korak pred varnostnimi platformami za e-pošto in usposabljanjem za ozaveščanje o varnosti," Nenormalna varnost je dejal v začetku tega leta. "Spremembe, opažene v tej raziskavi, so le nekateri od kazalcev, da se ti premiki že dogajajo, organizacije pa bi morale pričakovati, da jih bo v prihodnosti videti več."

Tudi socialni inženiring je priljubljen, kot vedno. Čeprav so zunanji napadi na ranljivosti in napačne konfiguracije najpogostejši način, s katerim napadalci pridobijo dostop do sistemov, so človeški uporabniki in njihove poverilnice še naprej priljubljena tarča napadov BEC, pravi Thanos iz Arctic Wolf.

»Primeri BEC so pogosto posledica socialnega inženiringa v primerjavi s primeri izsiljevalske programske opreme, ki so pogosto posledica izkoriščanja nezakrpanih ranljivosti ali orodij za oddaljeni dostop,« pravi. »Po naših izkušnjah obstaja večja verjetnost, da bodo akterji groženj napadli podjetje prek oddaljenega izkoriščanja kot preslepili človeka.

Kako se izogniti kompromisu BEC

Arctic Wolf je ugotovil, da lahko osnovni varnostni ukrepi veliko pripomorejo k temu, da ne bi postali žrtev. Pravzaprav veliko podjetij, ki so postala žrtev napadov BEC, ni imelo varnostnih kontrol, ki bi potencialno lahko preprečile škodo, je podjetje navedlo v svoji analizi. 

Raziskava je na primer pokazala, da 80 % podjetij, ki so utrpela incident BEC, ni imelo vzpostavljene večfaktorske avtentikacije. Poleg tega lahko druge kontrole, kot sta segmentacija omrežja in usposabljanje za ozaveščanje o varnosti, pomagajo preprečiti, da bi bili napadi BEC dragi, tudi potem, ko napadalec uspešno ogrozi zunanji sistem.

"Podjetja bi morala okrepiti obrambo svojih zaposlenih z varnostnim usposabljanjem," pravi Thanos, "vendar pa morajo obravnavati tudi ranljivosti, na katere se osredotočajo akterji groženj."