อาชญากรไซเบอร์มองเห็นเสน่ห์ในการโจมตีของ BEC เหนือแรนซัมแวร์

แม้ว่าแนวโน้มของการโจมตีแรนซัมแวร์ที่เผยแพร่ออกมานั้นขัดแย้งกัน โดยบริษัทบางแห่งติดตามเหตุการณ์มากกว่าและอีกน้อยกว่า การโจมตีด้วยอีเมลเชิงธุรกิจ (BEC) ยังคงได้รับการพิสูจน์แล้วว่าประสบความสำเร็จต่อองค์กร

กรณีของ BEC เพิ่มขึ้นกว่าเท่าตัวในไตรมาสที่สองของปี เป็น 34% จาก 17% ในไตรมาสแรกของปี 2022 ซึ่งเป็นไปตามคำกล่าวของ Arctic Wolf1H 2022 ข้อมูลเชิงลึกเกี่ยวกับการตอบสนองต่อเหตุการณ์” รายงานที่เผยแพร่เมื่อวันที่ 29 กันยายน ซึ่งพบว่าอุตสาหกรรมเฉพาะ ซึ่งรวมถึงการเงิน การประกันภัย บริการธุรกิจ และสำนักงานกฎหมาย ตลอดจนหน่วยงานของรัฐ มีประสบการณ์มากกว่าสองเท่าของจำนวนคดีก่อนหน้านี้ บริษัทกล่าว

โดยรวมแล้ว จำนวนการโจมตีของ BEC ที่พบต่อกล่องอีเมลเพิ่มขึ้น 84% ในครึ่งแรกของปี 2022 ตามข้อมูลจากบริษัทรักษาความปลอดภัยทางไซเบอร์ Abnormal Security.

ในขณะเดียวกัน จนถึงปีนี้ รายงานภัยคุกคามที่เผยแพร่โดยองค์กรต่างๆ ได้เปิดเผยแนวโน้มที่ขัดแย้งกันสำหรับแรนซัมแวร์ Arctic Wolf และ Identity Theft Resource Center (ITRC) ได้เห็นแล้ว จำนวนการโจมตีแรนซัมแวร์ที่ประสบความสำเร็จลดลงในขณะที่ลูกค้าธุรกิจดูเหมือนจะพบแรนซัมแวร์น้อยลง ตามบริษัทรักษาความปลอดภัย Trellix. ในเวลาเดียวกัน บริษัทรักษาความปลอดภัยเครือข่าย WatchGuard กลับตรงกันข้าม โดยสังเกตว่าการตรวจจับการโจมตีของแรนซัมแวร์ พุ่งสูงขึ้น 80% ในไตรมาสแรกของปี 2022เมื่อเทียบกับปีที่แล้วทั้งหมด

ความเปล่งประกายของ BEC เหนือกว่าแรนซัมแวร์

สภาวะที่เพิ่มขึ้นของภูมิทัศน์ BEC นั้นไม่น่าแปลกใจเลย Daniel Thanos รองประธานของ Arctic Wolf Labs กล่าว เนื่องจากการโจมตีของ BEC ทำให้อาชญากรไซเบอร์ได้เปรียบเหนือแรนซัมแวร์ โดยเฉพาะอย่างยิ่ง กำไรของ BEC ไม่ได้ขึ้นอยู่กับมูลค่าของสกุลเงินดิจิทัล และการโจมตีมักจะประสบความสำเร็จมากกว่าในการหลีกเลี่ยงการแจ้งเตือนขณะดำเนินการ

“การวิจัยของเราแสดงให้เห็นว่าผู้คุกคามนั้นเป็นคนที่ฉวยโอกาสอย่างมาก” เขากล่าว

ด้วยเหตุผลดังกล่าว BEC ซึ่งใช้วิศวกรรมสังคมและระบบภายในเพื่อขโมยเงินจากธุรกิจ ยังคงเป็นแหล่งรายได้ที่แข็งแกร่งสำหรับอาชญากรไซเบอร์ ในปี 2021 การโจมตีของ BEC คิดเป็น 35% หรือ 2.4 พันล้านดอลลาร์จากการสูญเสียที่อาจเกิดขึ้น 6.9 พันล้านดอลลาร์ ติดตามโดยศูนย์ร้องเรียนอาชญากรรมทางอินเทอร์เน็ตของ FBI (IC3)ในขณะที่แรนซัมแวร์ยังคงเป็นส่วนน้อย (0.7%) ของทั้งหมด 

ในแง่ของรายได้จากการโจมตีธุรกิจรายบุคคล การวิเคราะห์ของ Arctic Wolf ระบุว่าค่าไถ่เฉลี่ยสำหรับไตรมาสแรกอยู่ที่ประมาณ 450,000 ดอลลาร์ แต่ทีมวิจัยไม่ได้ให้ข้อมูลความสูญเสียโดยเฉลี่ยสำหรับผู้ที่ตกเป็นเหยื่อของการโจมตี BEC

การเปลี่ยนแปลงกลยุทธ์ทางไซเบอร์ที่มีแรงจูงใจทางการเงิน

พบความปลอดภัยผิดปกติ ในรายงานภัยคุกคาม เมื่อต้นปีนี้ เหตุการณ์อาชญากรรมทางอินเทอร์เน็ตส่วนใหญ่ (81%) เกี่ยวข้องกับช่องโหว่ภายนอกในผลิตภัณฑ์ที่มีการกำหนดเป้าหมายสูงสองสามรายการ กล่าวคือ เซิร์ฟเวอร์ Exchange ของ Microsoft และซอฟต์แวร์เดสก์ท็อปเสมือน Horizon ของ VMware รวมถึงบริการระยะไกลที่กำหนดค่าได้ไม่ดี เช่น ของ Microsoft โปรโตคอลเดสก์ท็อประยะไกล (RDP)

โดยเฉพาะอย่างยิ่ง Microsoft Exchange เวอร์ชันที่ไม่ได้รับการแก้ไขมีความเสี่ยงต่อการใช้ประโยชน์จาก ProxyShell (และตอนนี้ ProxyNotShell บั๊ก) ซึ่งใช้ช่องโหว่สามจุดเพื่อให้ผู้โจมตีเข้าถึงระบบ Exchange ระดับผู้ดูแลระบบ แม้ว่า Microsoft จะแก้ไขปัญหานี้มานานกว่าหนึ่งปีที่ผ่านมา แต่บริษัทไม่ได้เผยแพร่ช่องโหว่ดังกล่าวจนกว่าจะถึงสองสามเดือนต่อมา

VMware Horizon เป็นผลิตภัณฑ์เดสก์ท็อปและแอพเสมือนยอดนิยม เสี่ยงต่อการโจมตี Log4Shell ที่ใช้ประโยชน์จากช่องโหว่ Log4j 2.0 ที่น่าอับอาย

ทั้งสองช่องทาง กำลังขับเคลื่อนแคมเปญ BEC โดยเฉพาะอย่างยิ่ง นักวิจัยได้ตั้งข้อสังเกต 

นอกจากนี้ แก๊งค์ไซเบอร์จำนวนมากยังใช้ข้อมูลหรือข้อมูลประจำตัวที่ขโมยมาจากธุรกิจระหว่างการโจมตีของแรนซัมแวร์เพื่อ เชื้อเพลิง บีอีซี แคมเปญ.

“ในขณะที่องค์กรและพนักงานตระหนักถึงชั้นเชิงหนึ่งมากขึ้น ผู้คุกคามจะปรับกลยุทธ์ของพวกเขาในความพยายามที่จะก้าวล้ำหน้าแพลตฟอร์มความปลอดภัยอีเมลและการฝึกอบรมการรับรู้ความปลอดภัยหนึ่งก้าว” ความปลอดภัยที่ผิดปกติกล่าวว่า เมื่อต้นปีนี้ “การเปลี่ยนแปลงที่ระบุไว้ในงานวิจัยนี้เป็นเพียงตัวชี้วัดบางอย่างที่การเปลี่ยนแปลงเหล่านั้นได้เกิดขึ้นแล้ว และองค์กรต่างๆ ควรคาดหวังที่จะเห็นมากขึ้นในอนาคต”

วิศวกรรมสังคมก็เป็นที่นิยมเช่นกัน แม้ว่าการโจมตีจากภายนอกเกี่ยวกับช่องโหว่และการกำหนดค่าที่ไม่ถูกต้องเป็นวิธีที่แพร่หลายที่สุดที่ผู้โจมตีเข้าถึงระบบ ผู้ใช้ที่เป็นมนุษย์และข้อมูลประจำตัวของพวกเขายังคงเป็นเป้าหมายที่ได้รับความนิยมในการโจมตีของ BEC ธานอสจาก Arctic Wolf กล่าว

“กรณีของ BEC มักเป็นผลมาจากวิศวกรรมสังคม เมื่อเทียบกับกรณีของแรนซัมแวร์ ซึ่งมักเกิดจากการใช้ประโยชน์จากช่องโหว่ที่ไม่ได้รับการแพตช์หรือเครื่องมือการเข้าถึงระยะไกล” เขากล่าว “จากประสบการณ์ของเรา ผู้คุกคามมักจะโจมตีบริษัทผ่านการแสวงประโยชน์จากระยะไกลมากกว่าหลอกล่อมนุษย์

วิธีหลีกเลี่ยงการประนีประนอม BEC

เพื่อหลีกเลี่ยงไม่ให้ตกเป็นเหยื่อ มาตรการรักษาความปลอดภัยขั้นพื้นฐานสามารถไปได้ไกล Arctic Wolf พบ ในความเป็นจริง บริษัทจำนวนมากที่ตกเป็นเหยื่อการโจมตีของ BEC ไม่มีการควบคุมความปลอดภัยที่อาจป้องกันความเสียหายได้ บริษัทระบุในการวิเคราะห์ 

ตัวอย่างเช่น การวิจัยพบว่า 80% ของบริษัทที่ประสบปัญหา BEC ไม่มีการรับรองความถูกต้องแบบหลายปัจจัย นอกจากนี้ การควบคุมอื่นๆ เช่น การแบ่งส่วนเครือข่ายและการฝึกอบรมการรับรู้ความปลอดภัย สามารถช่วยป้องกันการโจมตี BEC ไม่ให้มีค่าใช้จ่ายสูง แม้ว่าผู้โจมตีจะบุกรุกระบบภายนอกได้สำเร็จก็ตาม

“บริษัทต่างๆ ควรเสริมความแข็งแกร่งในการป้องกันพนักงานผ่านการฝึกอบรมด้านความปลอดภัย” ธานอสกล่าว “แต่พวกเขายังต้องจัดการกับจุดอ่อนที่ผู้คุกคามมุ่งเน้น”