Mặc dù các xu hướng tấn công ransomware đã được công bố trái ngược nhau - với một số công ty theo dõi nhiều sự cố hơn và ít hơn - các cuộc tấn công xâm nhập email doanh nghiệp (BEC) vẫn tiếp tục chứng minh thành công chống lại các tổ chức.
Các trường hợp BEC, như một phần của tất cả các trường hợp ứng phó sự cố, đã tăng hơn gấp đôi trong quý hai của năm, lên 34% từ 17% trong quý đầu tiên của năm 2022. Đó là theo Arctic Wolf's “Thông tin chi tiết về ứng phó sự cố trong nửa đầu năm 1”, Báo cáo được công bố vào ngày 29 tháng XNUMX, cho thấy rằng các ngành cụ thể - bao gồm tài chính, bảo hiểm, dịch vụ kinh doanh và các công ty luật, cũng như các cơ quan chính phủ - đã trải qua số vụ việc nhiều hơn gấp đôi so với trước đây của họ, công ty cho biết.
Nhìn chung, số lượng các cuộc tấn công BEC gặp phải trên mỗi hộp thư điện tử đã tăng 84% trong nửa đầu năm 2022, theo dữ liệu từ công ty an ninh mạng Abnormal Security.
Trong khi đó, cho đến nay trong năm nay, các báo cáo về mối đe dọa do các tổ chức phát hành đã tiết lộ các xu hướng trái ngược đối với ransomware. Sói Bắc Cực và Trung tâm Tài nguyên Trộm cắp Danh tính (ITRC) đã nhìn thấy giảm số lượng các cuộc tấn công ransomware thành công, trong khi khách hàng doanh nghiệp dường như ít gặp phải ransomware hơn, theo hãng bảo mật Trellix. Đồng thời, công ty an ninh mạng WatchGuard đã có một hành động ngược lại, lưu ý rằng việc phát hiện các cuộc tấn công ransomware tăng vọt 80% trong quý đầu tiên của năm 2022, so với tất cả năm ngoái.
Gleam of BEC Outshines Ransomware
Daniel Thanos, phó chủ tịch của Arctic Wolf Labs, cho biết tình trạng gia tăng của cảnh quan BEC không có gì đáng ngạc nhiên, bởi vì các cuộc tấn công BEC mang lại lợi thế cho tội phạm mạng so với ransomware. Cụ thể, lợi nhuận của BEC không phụ thuộc vào giá trị của tiền điện tử và các cuộc tấn công thường thành công hơn khi thoát thông báo trong khi đang diễn ra.
Ông nói: “Nghiên cứu của chúng tôi cho thấy rằng các tác nhân đe dọa rất cơ hội.
Vì lý do đó, BEC - sử dụng kỹ thuật xã hội và hệ thống nội bộ để đánh cắp tiền từ các doanh nghiệp - tiếp tục là nguồn thu mạnh hơn cho tội phạm mạng. Vào năm 2021, các cuộc tấn công BEC chiếm 35%, tương đương 2.4 tỷ đô la, trong số 6.9 tỷ đô la thiệt hại có thể xảy ra được theo dõi bởi Trung tâm Khiếu nại Tội phạm Internet của FBI (IC3), trong khi ransomware vẫn chiếm một phần nhỏ (0.7%) trong tổng số.
Về doanh thu từ các cuộc tấn công cá nhân vào doanh nghiệp, phân tích của Arctic Wolf lưu ý rằng khoản tiền chuộc trung bình trong quý đầu tiên là khoảng 450,000 USD, nhưng nhóm nghiên cứu không đưa ra mức tổn thất trung bình cho các nạn nhân của các cuộc tấn công BEC.
Thay đổi chiến thuật mạng thúc đẩy tài chính
Bảo mật bất thường được tìm thấy trong báo cáo về mối đe dọa của nó vào đầu năm nay rằng phần lớn các sự cố tội phạm mạng (81%) liên quan đến các lỗ hổng bên ngoài trong một số sản phẩm được nhắm mục tiêu cao - cụ thể là máy chủ Exchange của Microsoft và phần mềm máy tính để bàn ảo Horizon của VMware - cũng như các dịch vụ từ xa được cấu hình kém, chẳng hạn như của Microsoft Giao thức Máy tính Từ xa (RDP).
Các phiên bản chưa được vá lỗi của Microsoft Exchange nói riêng dễ bị khai thác ProxyShell (và bây giờ là Lỗi ProxyNotShell), sử dụng ba lỗ hổng để cung cấp cho những kẻ tấn công quyền truy cập quản trị vào hệ thống Exchange. Trong khi Microsoft đã vá các vấn đề hơn một năm trước, công ty đã không công khai các lỗ hổng cho đến một vài tháng sau đó.
VMware Horizon là một sản phẩm ứng dụng và máy tính để bàn ảo phổ biến dễ bị tấn công Log4Shell đã khai thác lỗ hổng Log4j 2.0 khét tiếng.
Cả hai con đường đang thúc đẩy các chiến dịch BEC cụ thể, các nhà nghiên cứu đã lưu ý.
Ngoài ra, nhiều băng nhóm mạng đang sử dụng dữ liệu hoặc thông tin đăng nhập bị đánh cắp từ các doanh nghiệp trong các cuộc tấn công ransomware để các chiến dịch BEC nhiên liệu.
“Khi các tổ chức và nhân viên nhận thức rõ hơn về một chiến thuật, các tác nhân đe dọa sẽ điều chỉnh chiến lược của họ nhằm nỗ lực đi trước một bước so với các nền tảng bảo mật email và đào tạo nhận thức về bảo mật,” An ninh bất thường cho biết đầu năm nay. “Những thay đổi được ghi nhận trong nghiên cứu này chỉ là một số chỉ báo cho thấy những thay đổi đó đã và đang xảy ra và các tổ chức sẽ mong đợi sẽ thấy nhiều hơn trong tương lai.”
Kỹ thuật xã hội cũng phổ biến hơn bao giờ hết. Trong khi các cuộc tấn công từ bên ngoài vào các lỗ hổng và cấu hình sai là cách phổ biến nhất mà những kẻ tấn công giành được quyền truy cập vào hệ thống, người dùng con người và thông tin đăng nhập của họ tiếp tục là mục tiêu phổ biến trong các cuộc tấn công BEC, Arctic Wolf's Thanos cho biết.
Ông nói: “Các trường hợp BEC thường là kết quả của kỹ thuật xã hội, so với các trường hợp ransomware, thường là do khai thác các lỗ hổng chưa được vá hoặc các công cụ truy cập từ xa. “Theo kinh nghiệm của chúng tôi, các tác nhân đe dọa có nhiều khả năng tấn công một công ty thông qua khai thác từ xa hơn là đánh lừa con người.
Làm thế nào để tránh thỏa hiệp BEC
Để tránh trở thành nạn nhân, các biện pháp an ninh cơ bản có thể đi một chặng đường dài, Arctic Wolf nhận thấy. Trên thực tế, nhiều công ty trở thành con mồi của các cuộc tấn công BEC đã không có các biện pháp kiểm soát an ninh có khả năng ngăn chặn thiệt hại, công ty cho biết trong phân tích của mình.
Ví dụ, nghiên cứu cho thấy 80% các công ty gặp sự cố BEC không có xác thực đa yếu tố. Ngoài ra, các biện pháp kiểm soát khác, chẳng hạn như phân đoạn mạng và đào tạo nhận thức về bảo mật, có thể giúp ngăn chặn các cuộc tấn công BEC tốn kém, ngay cả sau khi kẻ tấn công xâm nhập thành công hệ thống bên ngoài.
Thanos nói: “Các công ty nên tăng cường khả năng phòng vệ của nhân viên thông qua đào tạo bảo mật, nhưng họ cũng cần giải quyết các lỗ hổng mà các tác nhân đe dọa tập trung vào.”
