Los ciberdelincuentes ven encanto en los ataques BEC por ransomware


Si bien las tendencias publicadas en los ataques de ransomware han sido contradictorias, con algunas empresas rastreando más incidentes y otras menos, los ataques de compromiso de correo electrónico comercial (BEC) continúan teniendo un éxito comprobado contra las organizaciones.

Los casos de BEC, como porcentaje de todos los casos de respuesta a incidentes, se duplicaron con creces en el segundo trimestre del año, al 34 % desde el 17 % en el primer trimestre de 2022. Eso es según Arctic Wolf’s «Perspectivas de respuesta a incidentes del primer semestre de 2022«, publicado el 29 de septiembre, que encontró que industrias específicas, incluidas las financieras, de seguros, servicios comerciales y bufetes de abogados, así como agencias gubernamentales, experimentaron más del doble de su número anterior de casos, dijo la compañía.

En normal, la cantidad de ataques BEC encontrados por casilla de correo electrónico aumentó un 84 % en la primera mitad de 2022. según datos de la firma de ciberseguridad Irregular Protection.

Mientras tanto, en lo que va del año, los informes de amenazas publicados por las organizaciones han revelado tendencias contradictorias para el ransomware. Arctic Wolf y el Centro de Recursos para el Robo de Identidad (ITRC) han visto caídas en la cantidad de ataques exitosos de ransomware, mientras que los clientes comerciales parecen encontrar ransomware con menos frecuencia, según la firma de seguridad Trellix. Al mismo tiempo, la empresa de seguridad de redes WatchGuard tuvo una opinión contraria, y señaló que su detección de ataques de ransomware se disparó un 80 % en el primer trimestre de 2022, en comparación con todo el año pasado.

El brillo de BEC eclipsa al ransomware

El creciente estado del panorama BEC no es sorprendente, dice Daniel Thanos, vicepresidente de Arctic Wolf Labs, porque los ataques BEC ofrecen a los ciberdelincuentes ventajas sobre el ransomware. Específicamente, las ganancias de BEC no dependen del valor de la criptomoneda, y los ataques suelen tener más éxito para pasar desapercibidos mientras están en curso.

«Nuestra investigación muestra que, lamentablemente, los actores de amenazas son muy oportunistas», dice.

Por esa razón, BEC, que utiliza ingeniería social y sistemas internos para robar fondos de las empresas, sigue siendo una fuente de ingresos más sólida para los ciberdelincuentes. En 2021, los ataques BEC representaron el 35 %, o $2400 millones, de los $6900 millones en pérdidas potenciales. rastreado por el Centro de Quejas de Delitos en Online (IC3) del FBImientras que el ransomware siguió siendo una pequeña fracción (,7 %) del complete.

En términos de ingresos por ataques individuales a empresas, el análisis de Arctic Wolf señaló que el rescate promedio para el primer trimestre fue de aproximadamente $450 000, pero el equipo de investigación no proporcionó la pérdida promedio para las víctimas de los ataques BEC.

Cambio de tácticas cibernéticas motivadas financieramente

Seguridad anormal encontrada en su informe de amenazas a principios de este año que la gran mayoría de todos los incidentes de delitos cibernéticos (81 %) involucraron vulnerabilidades externas en algunos productos altamente específicos, a saber, el servidor Exchange de Microsoft y el computer software de escritorio virtual Horizon de VMware, así como servicios remotos mal configurados, como Microsoft Protocolo de escritorio remoto (RDP).

Las versiones sin parches de Microsoft Exchange en particular son vulnerables al exploit ProxyShell (y ahora a los errores de ProxyNotShell), que utiliza tres vulnerabilidades para otorgar a los atacantes acceso administrativo a un sistema Exchange. Si bien Microsoft solucionó los problemas hace más de un año, la empresa no hizo públicas las vulnerabilidades hasta unos meses después.

VMware Horizon es un well known producto de aplicación y escritorio virtual vulnerable al ataque Log4Shell que explotó las infames vulnerabilidades de Log4j 2..

Ambas vías están impulsando específicamente las campañas de BEC, señalaron los investigadores.

Además, muchas pandillas cibernéticas están utilizando datos o credenciales robadas de las empresas durante los ataques de ransomware para impulsar las campañas de BEC.

“A medida que las organizaciones y los empleados se vuelvan más conscientes de una táctica, los actores de amenazas ajustarán sus estrategias en un esfuerzo por mantenerse un paso por delante de las plataformas de seguridad de correo electrónico y la capacitación de concientización sobre seguridad”. Seguridad Anormal dijo a principios de este año. «Los cambios observados en esta investigación son solo algunos de los indicadores de que esos cambios ya están ocurriendo, y las organizaciones deberían esperar ver más en el futuro».

Causa raíz del ataque
El 81% de los incidentes involucraron una vulnerabilidad o debilidad externa. Fuente: lobo ártico

La ingeniería social también es preferred, como siempre. Si bien los ataques externos a las vulnerabilidades y las configuraciones incorrectas son la forma más frecuente en que los atacantes obtienen acceso a los sistemas, los usuarios humanos y sus credenciales continúan siendo un objetivo well-known en los ataques BEC, dice Thanos de Arctic Wolf.

«Los casos de BEC a menudo son el resultado de la ingeniería social, en comparación con los casos de ransomware, que a menudo son causados ​​​​por la explotación de vulnerabilidades sin parches o herramientas de acceso remoto», dice. «Según nuestra experiencia, es más possible que los actores de amenazas ataquen a una empresa a través de un exploit remoto que engañar a un humano.

Cómo evitar el compromiso de BEC

Para evitar ser una víctima, las medidas básicas de seguridad pueden ser muy útiles, descubrió Arctic Wolf. De hecho, muchas empresas que fueron víctimas de los ataques BEC no tenían controles de seguridad que potencialmente podrían haber evitado daños, afirmó la empresa en su análisis.

Por ejemplo, la investigación encontró que el 80 % de las empresas que sufrieron un incidente de BEC no tenían implementada la autenticación multifactor. Además, otros controles, como la segmentación de la crimson y la capacitación en concientización sobre la seguridad, podrían ayudar a evitar que los ataques BEC sean costosos, incluso después de que el atacante comprometa con éxito un sistema externo.

«Las empresas deben fortalecer las defensas de sus empleados a través de la capacitación en seguridad», dice Thanos, «pero también deben abordar las vulnerabilidades en las que se enfocan los actores de amenazas».



Enlace a la noticia unique