Незважаючи на те, що опубліковані тенденції щодо атак програм-вимагачів суперечливі — одні фірми відстежують більше інцидентів, а інші — менше, атаки компрометації бізнес-електронної пошти (BEC) продовжують успішно впливати на організації.
Випадки BEC, як частка всіх випадків реагування на інциденти, зросли більш ніж удвічі у другому кварталі року до 34% з 17% у першому кварталі 2022 року. Це згідно з «Arctic Wolf»Статистика реагування на інциденти за 1 півріччя 2022 року», опублікованому 29 вересня, в якому було виявлено, що в окремих галузях, включаючи фінансові, страхові, бізнес-послуги та юридичні фірми, а також державні установи, кількість справ більш ніж удвічі зросла, ніж у попередній період, повідомляє компанія.
Загалом кількість атак BEC на електронну скриньку зросла на 84% у першій половині 2022 року, згідно з даними фірми з кібербезпеки Abnormal Security.
Тим часом цього року звіти про загрози, опубліковані організаціями, виявили суперечливі тенденції щодо програм-вимагачів. Arctic Wolf і Identity Theft Resource Center (ITRC) бачили падіння кількості успішних атак програм-вимагачів, тоді як бізнес-клієнти, здається, рідше стикаються з програмами-вимагачами, за даними охоронної фірми Trellix. У той же час компанія з мережевої безпеки WatchGuard висловила протилежну думку, зазначивши, що її виявлення атак програм-вимагачів різко зросла на 80% у першому кварталі 2022 року, порівняно з усім минулим роком.
Блиск BEC затьмарює програми-вимагачі
За словами Деніеля Таноса, віце-президента Arctic Wolf Labs, несподівано зростаючий стан ландшафту BEC, оскільки атаки BEC пропонують переваги кіберзлочинцям перед програмами-вимагачами. Зокрема, приріст BEC не залежить від вартості криптовалюти, і атаки часто успішніше залишаються непоміченими під час виконання.
«Наші дослідження показують, що суб’єкти загрози, на жаль, дуже опортуністичні», — каже він.
З цієї причини BEC, який використовує соціальну інженерію та внутрішні системи для викрадення коштів у бізнесу, продовжує залишатися потужнішим джерелом доходу для кіберзлочинців. У 2021 році на атаки BEC припадало 35%, або 2.4 мільярда доларів США, із 6.9 мільярда доларів потенційних збитків відстежується Центром скарг на злочини в Інтернеті ФБР (IC3), тоді як програми-вимагачі залишалися невеликою часткою (0.7%) від загальної кількості.
Що стосується доходу від окремих атак на бізнес, аналіз Arctic Wolf зазначив, що середня сума викупу за перший квартал становила близько 450,000 XNUMX доларів США, але дослідницька група не надала середні втрати для жертв атак BEC.
Зміна фінансово мотивованої кібертактики
Знайдено порушення безпеки у своєму звіті про загрози на початку цього року переважна більшість усіх інцидентів кіберзлочинності (81%) стосувалися зовнішніх уразливостей у кількох високоцільових продуктах, а саме сервері Microsoft Exchange і програмному забезпеченні віртуального робочого столу Horizon від VMware, а також у погано налаштованих віддалених службах, таких як Microsoft Протокол віддаленого робочого столу (RDP).
Особливо невиправлені версії Microsoft Exchange уразливі до експлойту ProxyShell (і тепер Помилки ProxyNotShell), яка використовує три вразливості, щоб надати зловмисникам адміністративний доступ до системи Exchange. Хоча Microsoft виправила проблеми більше року тому, компанія оприлюднила вразливості лише через кілька місяців.
VMware Horizon — популярний віртуальний робочий стіл і програмний продукт вразливий до атаки Log4Shell який використовував сумнозвісну вразливість Log4j 2.0.
Обидва проспекти підживлюють кампанії BEC зокрема, відзначили дослідники.
Крім того, багато кіберугруповань використовують дані або облікові дані, викрадені у компаній під час атак програм-вимагачів, щоб паливні кампанії BEC.
«Оскільки організації та співробітники стають більш обізнаними про одну тактику, суб’єкти загроз коригуватимуть свої стратегії, намагаючись бути на крок попереду платформ безпеки електронної пошти та тренінгів з питань безпеки», Аномальна безпека сказала на початку цього року. «Зміни, зазначені в цьому дослідженні, є лише деякими показниками того, що ці зміни вже відбуваються, і організації повинні очікувати, що вони побачать більше в майбутньому».
Соціальна інженерія теж популярна, як ніколи. У той час як зовнішні атаки на вразливості та неправильні конфігурації є найпоширенішим способом, за допомогою якого зловмисники отримують доступ до систем, користувачі та їхні облікові дані продовжують бути популярною мішенню для атак BEC, каже Танос з Arctic Wolf.
«Випадки BEC часто є результатом соціальної інженерії, порівняно з випадками програм-вимагачів, які часто спричинені використанням невиправлених уразливостей або інструментів віддаленого доступу», — каже він. «Виходячи з нашого досвіду, зловмисники з більшою ймовірністю атакуватимуть компанію за допомогою віддаленого експлойта, ніж обманюють людину.
Як уникнути компромісу BEC
Arctic Wolf виявив, що для того, щоб не стати жертвою, важливі заходи безпеки. Насправді багато компаній, які стали жертвами атак BEC, не мали заходів безпеки, які потенційно могли б запобігти збитку, заявила компанія у своєму аналізі.
Наприклад, дослідження показало, що 80% компаній, які постраждали від інциденту BEC, не мали багатофакторної автентифікації. Крім того, інші засоби контролю, такі як сегментація мережі та навчання з питань безпеки, можуть допомогти запобігти дорогим атакам BEC навіть після того, як зловмисник успішно зламав зовнішню систему.
«Компанії повинні зміцнити захист своїх співробітників за допомогою тренінгів з питань безпеки, — каже Танос, — але їм також потрібно усунути вразливі місця, на яких зосереджуються зловмисники».
