Även om publicerade trender i ransomware-attacker har varit motsägelsefulla – med vissa företag som spårar fler incidenter och andra färre – fortsätter attacker med e-postkompromisser (BEC) att ha visat sig vara framgångsrika mot organisationer.

BEC-fall, som andel av alla incident-respons-fall, mer än fördubblades under årets andra kvartal, till 34 % från 17 % första kvartalet 2022. Det är enligt Arctic Wolfs ”1H 2022 Incident Response Insights” rapport, publicerad den 29 september, som fann att specifika branscher – inklusive finans, försäkring, företagstjänster och advokatbyråer, såväl som statliga myndigheter – upplevde mer än dubbelt så många tidigare fall, sa företaget.

Totalt sett har antalet BEC-attacker per e-postlåda ökat med 84 % under första halvåret 2022, enligt uppgifter från cybersäkerhetsföretaget Abnormal Security.

Under tiden, hittills i år, har hotrapporter som släppts av organisationer avslöjat motstridiga trender för ransomware. Arctic Wolf och Identity Theft Resource Center (ITRC) har sett minskar antalet framgångsrika ransomware-attacker, medan företagskunder verkar stöta på ransomware mer sällan, enligt säkerhetsföretaget Trellix. Samtidigt hade nätverkssäkerhetsföretaget WatchGuard en motsatt uppfattning och noterade att dess upptäckt av ransomware-attacker skjutit i höjden med 80 % under första kvartalet 2022jämfört med hela förra året.

Glansen av BEC överglänser Ransomware

Det stigande tillståndet i BEC-landskapet är föga förvånande, säger Daniel Thanos, vice vd för Arctic Wolf Labs, eftersom BEC-attacker erbjuder cyberbrottslingar fördelar jämfört med ransomware. Närmare bestämt beror BEC-vinster inte på värdet av kryptovaluta, och attacker är ofta mer framgångsrika när det gäller att undvika varsel medan de pågår.

"Vår forskning visar att hotaktörer tyvärr är väldigt opportunistiska", säger han.

Av den anledningen fortsätter BEC – som använder social ingenjörskonst och interna system för att stjäla pengar från företag – att vara en starkare inkomstkälla för cyberbrottslingar. År 2021 stod BEC-attacker för 35 %, eller 2.4 miljarder USD, av de potentiella förlusterna på 6.9 miljarder USD spåras av FBI:s Internet Crime Complaint Center (IC3), medan ransomware förblev en liten bråkdel (0.7%) av totalen. 

När det gäller intäkter från individuella attacker på företag, noterade Arctic Wolf-analysen att medianlösensumman för det första kvartalet var cirka 450,000 XNUMX USD, men forskargruppen angav inte den genomsnittliga förlusten för offer för BEC-attacker.

Byta ekonomiskt motiverad cybertaktik

Onormal säkerhet hittades i sin hotrapport tidigare i år att den stora majoriteten av alla cyberbrottsincidenter (81 %) involverade externa sårbarheter i ett fåtal mycket riktade produkter – nämligen Microsofts Exchange-server och VMwares Horizon virtuella skrivbordsprogram – såväl som dåligt konfigurerade fjärrtjänster, som Microsofts Remote Desktop Protocol (RDP).

Opatchade versioner av Microsoft Exchange i synnerhet är sårbara för ProxyShell-exploateringen (och nu ProxyNotShell-buggar), som använder tre sårbarheter för att ge angripare administrativ åtkomst till ett Exchange-system. Medan Microsoft korrigerade problemen för mer än ett år sedan, publicerade företaget inte sårbarheterna förrän några månader senare.

VMware Horizon är en populär virtuell skrivbords- och appprodukt sårbara för Log4Shell-attacken som utnyttjade de ökända Log4j 2.0-sårbarheterna.

Båda vägarna driver BEC-kampanjer specifikt har forskare noterat. 

Dessutom använder många cybergäng data eller referenser som stulits från företag under ransomware-attacker för att bränsle BEC-kampanjer.

"När organisationer och anställda blir mer medvetna om en taktik, kommer hotaktörer att anpassa sina strategier i ett försök att ligga steget före e-postsäkerhetsplattformar och utbildning för säkerhetsmedvetenhet." Abnormal Security sa tidigare i år. "De förändringar som noteras i den här forskningen är bara några av indikatorerna på att dessa förändringar redan sker, och organisationer bör förvänta sig att se mer i framtiden."

Social ingenjörskonst är också populärt, som alltid. Medan externa attacker på sårbarheter och felkonfigurationer är det vanligaste sättet att angripare får tillgång till system, fortsätter mänskliga användare och deras referenser att vara ett populärt mål i BEC-attacker, säger Arctic Wolfs Thanos.

"BEC-fall är ofta resultatet av social ingenjörskonst, jämfört med ransomware-fall, som ofta orsakas av utnyttjande av oparpade sårbarheter eller fjärråtkomstverktyg", säger han. "Vår erfarenhet är att hotaktörer är mer benägna att attackera ett företag via fjärrexploatering än att lura en människa.

Hur man undviker BEC-kompromiss

För att undvika att bli ett offer kan grundläggande säkerhetsåtgärder räcka långt, fann Arctic Wolf. Faktum är att många företag som fallit offer för BEC-attacker inte hade säkerhetskontroller som potentiellt kunde ha förhindrat skador, konstaterade företaget i sin analys. 

Till exempel visade forskningen att 80 % av de företag som drabbades av en BEC-incident inte hade någon multifaktorautentisering på plats. Dessutom kan andra kontroller, såsom nätverkssegmentering och utbildning i säkerhetsmedvetenhet, hjälpa till att förhindra att BEC-attacker blir kostsamma, även efter att angriparen lyckats kompromissa med ett externt system.

"Företag bör stärka sina anställdas försvar genom säkerhetsutbildning", säger Thanos, "men de måste också ta itu med de sårbarheter som hotaktörer fokuserar på."