El volumen de ataques Business Email Compromise (BEC) se duplicó durante el transcurso de 2022 gracias a varias campañas de phishing exitosas y de alto perfil, reemplazando al ransomware como el vector de ataque cibernético motivado financieramente más comúnmente observado, según datos compilados de cientos de incidentes a los que se respondió. por la Unidad de Contra Amenazas (CTU) de Secureworks.
Secureworks dijo que sus cifras demuestran que, aunque las amenazas avanzadas impulsadas por la IA podrían estar dominando el panorama de la seguridad, los ataques cibernéticos exitosos tuvieron orígenes bastante más humildes. Describió el panorama actual como “menos ChatGPT, más Chad en TI”.
Un ataque BEC es una forma de compromiso en la que los ciberdelincuentes se aferran a un empleado con acceso a los fondos de la empresa y lo convencen de que le transfiera dinero, generalmente haciéndose pasar por un gerente de línea, supervisor u otras figuras importantes de la organización.
A menudo, estos ataques tienen lugar al final de un trimestre financiero, y los señuelos de phishing pueden invocar un sentido de urgencia, haciendo referencia a asuntos confidenciales o sensibles al tiempo que deben ser atendidos de inmediato. En algunos ejemplos comunes, el gerente puede afirmar que necesita vales de regalo de Amazon para un plan de incentivos o recompensas para empleados.
Secureworks descubrió que BEC estuvo involucrado en el 33 % de los incidentes en los que pudo establecer el vector de acceso inicial (IAV), frente al 13 % en 2021.
“El compromiso del correo electrónico comercial requiere poca o ninguna habilidad técnica, pero puede ser extremadamente lucrativo. Los atacantes pueden phishing simultáneamente en múltiples organizaciones en busca de posibles víctimas, sin necesidad de emplear habilidades avanzadas u operar modelos afiliados complicados”, dijo Mike McLellan, director de inteligencia de Secureworks.
Pero esto no quiere decir que otros IAV no estén demostrando ser tan rentables. La explotación de vulnerabilidades en los sistemas conectados a Internet también se observó en aproximadamente un tercio de los incidentes en los que la CTU entró en acción. Por lo general, los actores de amenazas se basan en vulnerabilidades divulgadas públicamente, como ProxyLogon, ProxyShell o Log4Shell.
McLellan dijo: “Los ciberdelincuentes son oportunistas, no son objetivos. Los atacantes todavía están dando vueltas por el estacionamiento y viendo qué puertas están abiertas. Los escáneres masivos mostrarán rápidamente a un atacante qué máquinas no están parcheadas. Si sus aplicaciones orientadas a Internet no están protegidas, les está dando las llaves del reino. Una vez que están adentro, el reloj comienza a correr para evitar que un atacante aproveche esa intrusión”.
Caen los incidentes de ransomware
Mientras tanto, al igual que otros observadores, Secureworks vio caer el número total de incidentes de ransomware en un 57 %, probablemente debido a una combinación de factores, probablemente cambiando de táctica entre las pandillas de ransomware y una mayor actividad policial en torno a ataques de alto perfil.
McLellan advirtió que este segundo factor podría estar sesgando los datos hasta cierto punto, ya que dado el impacto de los incidentes de ransomware de alto perfil, los ciberdelincuentes pueden estar atacando a las empresas más pequeñas que podrían ser menos propensas a contratar asistencia de respuesta a incidentes y, por lo tanto, no aparece en las estadísticas de la CTU.
Se consideró que los ataques por motivos financieros representaron la mayoría de los incidentes investigados por la CTU, lo que representa el 79 % de la muestra, una caída con respecto a años anteriores y probablemente como resultado de la interrupción causada por la guerra de Rusia contra Ucrania.
Finalmente, las intrusiones respaldadas por APT estatales hostiles aumentaron un 3 % interanual hasta el 9 %, con el 90 % de esta actividad atribuible a China, a pesar del ruido en torno a Rusia.
“Los actores de amenazas patrocinados por el gobierno tienen un propósito diferente al de aquellos que están motivados financieramente, pero las herramientas y técnicas que usan a menudo son las mismas”, dijo McLellan.
“Por ejemplo, se detectaron actores de amenazas chinos implementando ransomware como una cortina de humo para el espionaje. La intención es diferente, pero el ransomware en sí no lo es. Lo mismo es cierto para los IAV; se trata de poner un pie en la puerta de la manera más rápida y fácil posible, sin importar a qué grupo pertenezca.
“Una vez que un actor patrocinado por el estado atraviesa esa puerta, es muy difícil de detectar y aún más difícil de desalojar. A medida que estados como China, Rusia, Irán y Corea del Norte continúan utilizando la cibernética para promover los objetivos económicos y políticos de sus países, es aún más importante que las empresas obtengan los controles y recursos adecuados para proteger, detectar y remediar los ataques. .”