Распространенность компрометации деловой электронной почты (BEC) увеличилась вдвое и в настоящее время обогнала программы-вымогатели в качестве основной формы кибератаки на организации с финансовой точки зрения.
Недавнее исследование, проведенное подразделением SecureWorks Counter Threat Unit (CTU), показало, что, несмотря на широко распространенные дискуссии о передовых угрозах, связанных с искусственным интеллектом, в индустрии кибербезопасности, большинство реальных инцидентов безопасности начинаются с более простых причин.
Это подчеркивает важность соблюдения предприятиями надлежащих методов кибергигиены для повышения защиты своей сети.
Этот рост BEC объясняется всплеском успешных фишинговых кампаний, на долю которых приходится 33% атак, когда можно было определить начальный вектор доступа (IAV). Это значительный рост по сравнению с 13% в 2021 году.
Киберпреступники, в том числе киберпреступники и национальные государства, также используют уязвимости в системах с выходом в Интернет, что составляет треть инцидентов, в которых может быть установлен IAV. Этим злоумышленникам, как правило, не нужно использовать уязвимости нулевого дня, а вместо этого они полагаются на публично раскрытые уязвимости, такие как ProxyLogon, ProxyShell и Log4Shell, для атак на незащищенные системы.
Количество инцидентов с программами-вымогателями сократилось на 57%, но они остаются серьезной угрозой. Это снижение может быть связано с изменением тактики и усилением активности правоохранительных органов в ответ на громкие атаки, такие как Colonial Pipeline и Kaseya.
Кроме того, кибер-банды могут нацеливаться на более мелкие организации, которые с меньшей вероятностью взаимодействуют с аварийно-спасательными службами и, таким образом, выходят за рамки настоящего отчета.
«Компрометация деловой электронной почты практически не требует технических навыков, но может быть чрезвычайно прибыльной. Злоумышленники могут одновременно осуществлять фишинг нескольких организаций в поисках потенциальных жертв без необходимости применения передовых навыков или использования сложных партнерских моделей», — комментирует Майк Маклеллан, директор по разведке Secureworks.
«Давайте внесем ясность; киберпреступники авантюристичны, а не нацелены. Злоумышленники все равно обходят парковку и смотрят, какие двери не заперты. Массовые сканеры быстро покажут злоумышленника, чьи машины не пропатчены. Если ваши интернет-приложения не защищены, вы даете им ключи королевства.
«Как только они вошли, часы начинают тикать, чтобы помешать злоумышленнику использовать это вторжение в своих интересах. Уже в 2023 году мы видели несколько громких случаев использования программ-вымогателей после вторжения, которые могут быть чрезвычайно разрушительными и разрушительными», — продолжил Маклеллан.
Что такое компрометация деловой электронной почты?
Компрометация деловой электронной почты — это тип кибератаки, при которой злоумышленники используют мошеннические электронные письма или другие методы социальной инженерии, чтобы выдать себя за доверенное лицо, такое как высшее руководство или поставщик, чтобы обманным путем заставить получателя выполнить банковский перевод или раскрыть конфиденциальную информацию. .
Атаки BEC могут быть особенно разрушительными для малых и средних предприятий (малых и средних предприятий), поскольку у них часто меньше ресурсов, которые можно выделить на кибербезопасность, и они могут быть более уязвимы для тактики социальной инженерии. Киберпреступники часто нацелены на малые и средние предприятия, потому что они могут иметь более слабые меры безопасности и, возможно, с меньшей вероятностью внедрили надежные меры кибербезопасности.
Атаки BEC часто основаны на адресных фишинговых электронных письмах, тщательно составленных таким образом, чтобы они выглядели законными и убеждали жертву совершить определенное действие, например совершить платеж или раскрыть конфиденциальные данные. Атаки BEC часто имеют финансовую мотивацию и могут привести к значительным потерям для организаций, ставших их жертвами.
Что могут сделать МСП для защиты?
Есть несколько шагов, которые SME могут предпринять, чтобы защитить себя от BEC-атак.
Вот некоторые предложения:
- Обучение персонала: Регулярно обучайте своих сотрудников тому, как распознавать фишинговые электронные письма и реагировать на них. Сообщите им о рисках BEC-атак и предоставьте им рекомендации по проверке подлинности электронных писем и запросов.
- Двухфакторная аутентификация: Внедрите двухфакторную аутентификацию (2FA) для учетных записей электронной почты и других критически важных систем. Это может помочь предотвратить несанкционированный доступ, даже если злоумышленник украл учетные данные для входа.
- Фильтры электронной почты: Используйте фильтры электронной почты, чтобы блокировать или помечать подозрительные электронные письма. Это может помочь предотвратить попадание сотрудников на фишинговые электронные письма, которые выглядят законными. Управление поставщиками: внедрите строгие методы управления поставщиками и проверяйте личность любых поставщиков или поставщиков перед переводом средств или конфиденциальной информации.
- Мониторинг аккаунта: Регулярно проверяйте свои финансовые счета на предмет любых необычных действий, таких как неожиданные банковские переводы или несанкционированный доступ.
- План реагирования на инцидент: Разработайте план реагирования на инциденты, в котором описаны действия, которые необходимо предпринять в случае успешной атаки BEC. Это должно включать процедуры сообщения об инциденте, локализации ущерба и восстановления систем и данных.
В сфере кибербезопасности наблюдается рост враждебной деятельности, спонсируемой государством, о чем свидетельствуют недавние анализы, которые показывают, что 9% инцидентов были связаны с такой деятельностью — по сравнению с 6% в 2021 году.
Большинство этих инцидентов, примерно 90%, были приписаны злоумышленникам, связанным с Китаем. С другой стороны, на финансово мотивированные атаки приходится большинство инцидентов, не связанных с деятельностью, спонсируемой государством, что составляет примерно 79% от общей выборки.
Однако этот процент ниже, чем в предыдущие годы, и потенциально может быть связан с конфликтом между Россией и Украиной, который нарушил цепочки поставок киберпреступников. Например, когда произошла утечка файлов, связанных с группой программ-вымогателей Conti, группе потребовалось несколько месяцев на восстановление и перенастройку, что могло повлиять на общее снижение числа инцидентов с программами-вымогателями.
«Спонсируемые государством субъекты угроз преследуют иные цели, чем те, кто преследует финансовые цели, но инструменты и методы, которые они используют, часто одни и те же. Например, было обнаружено, что китайские злоумышленники развертывают программы-вымогатели в качестве дымовой завесы для шпионажа. Намерение другое, но сама программа-вымогатель — нет. То же самое верно для начального вектора доступа (IAV); все дело в том, чтобы войти в дверь самым быстрым и простым способом, независимо от того, к какой группе вы принадлежите», — продолжает Маклеллан.
«Как только спонсируемый государством актер входит в эту дверь, его очень трудно обнаружить и еще труднее выселить. Поскольку такие государства, как Китай, Россия, Иран и Северная Корея, продолжают использовать кибербезопасность для достижения экономических и политических целей своих стран, еще более важно, чтобы предприятия располагали надлежащими средствами контроля и ресурсами для защиты, обнаружения и устранения атак. ».
Будьте в курсе наших историй на LinkedIn, ТвиттерФейсбук и Инстаграм.
