Търсене
Close this search box.

Платформата, която поддържа следващото поколение престъпления – поглед отвътре

Години наред зловредна платформа се използва с нарастващи темпове от киберпрестъпниците за извършване на „индустриални“ имейл атаки срещу предприятия.

Microsoft оповести бързото приемане на платформи като BulletProftLink в доклад в петък, в който се казва, че инструментите се използват широко за извършване на изключително сложни атаки за компрометиране на бизнес електронна поща (BEC).

Тези платформи предлагат на киберпрестъпниците пълен набор от инструменти за извършване на BEC атаки, включително легитимно изглеждащи шаблони за имейли, хостинг и автоматизирани услуги за извършване на атаки.

В доклада на Microsoft се отбелязва, че все по-широкото разпространение на BulletProftLink и подобните на нея предлагат нови начини за успешното монетизиране на киберпрестъпленията като услуга (CaaS) от страна на подземната индустрия.

Отделът за цифрови престъпления на компанията заяви, че между 2019 и 2020 г. наблюдава 38% увеличение на атаките CaaS, насочени конкретно към бизнес електронна поща.

Как работи BulletProftLink?

Съществуват редица уникални възможности, които правят атаките, които се извършват с помощта на инструментите на BulletProftLink, трудни за разчленяване и анализ.

Най-забележителната от тях е тенденцията атакуващите да избягват  откритиване на невъзможни пътувания.

Много продукти за сигурност разполагат с детекции за невъзможни пътувания, които често могат да идентифицират и неутрализират акаунти, които са били компрометирани от киберпрестъпници.

Една организация е наясно с IP адресите, използвани от нейните служители в офиса и тези, които работят от разстояние.

Ако се знае, че един работник редовно влиза в акаунта си от Лондон, или ако една сутрин влезе в акаунта си от IP адрес, базиран в Лондон, но един час по-късно влезе в същия акаунт от IP адрес, базиран в Хонконг, например, това ще предизвика откриване на невъзможни пътувания.

Тогава екипите по сигурността обикновено биха разследвали случая, знаейки, че се извършва потенциална кибератака.

Този работник не би могъл да пътува между двата града в този времеви диапазон, което означава, че вероятно се извършва някаква злонамерена дейност.

Въоръжени с BulletProftLink, нападателите закупуват IP адреси от IP услуги, които съответстват на местоположението на тяхната цел.

След като създадат резидентни IP прокси сървъри, локализирани в местоположението на жертвата, нападателите могат да извършват атаки, като прикриват истинското си местоположение и избягват невъзможни засичания при пътуване.

„Резидентните IP адреси, съпоставени с местонахождението на жертвите в голям мащаб, предоставят на киберпрестъпниците способността и възможността да събират големи обеми компрометирани идентификационни данни и акаунти за достъп“, казва Microsoft в доклада си Cyber Signals. „Заплахите използват IP/прокси услуги, които търговците и други лица могат да използват за проучвания, за да мащабират тези атаки.

„Един от доставчиците на IP услуги например разполага със 100 милиона IP адреса, които могат да бъдат ротирани или променяни всяка секунда.“

BulletProftLink също така отива една стъпка по-далеч от платформите за фишинг като услуга, към които се насочват много киберпрестъпници, като Evil Proxy, Naked Pages и Caffeine.

Всички тези платформи предлагат на нападателите възможности за извършване на фишинг атаки в голям мащаб, като използват компрометирани идентификационни данни, но BulletProftLink използва блокчейн за своя хостинг.

Според Microsoft този децентрализиран дизайн на шлюза позволява на платформата да хоства фишинг и BEC уебсайтове по децентрализиран начин, което значително затруднява прекъсването на работата ѝ.

Обикновено Microsoft и други организации за уеб сигурност могат да проследят и локализират произхода на зловредното съдържание и да предприемат стъпки за премахване на източника от интернет.

Макар че всяка отделна фишинг връзка може да бъде блокирана или премахната, проследяването на източника в публичен блокчейн е много по-трудно, отколкото при типична кампания, хоствана в уеб2.

Защо BEC е такава заплаха?

BEC е вид фишинг атака, която е насочена към конкретно лице, обикновено високопоставен служител в организация, който има правомощия да извършва големи финансови трансфери

Целта на атаките е да убедят това високопоставено лице да прехвърли средства в привидно легитимна сметка, която всъщност се контролира от киберпрестъпниците.

Телеметрията на Microsoft показва, че през миналата година е имало 35 милиона опита за BEC атаки, което се равнява на 156 000 на ден.

BEC може да доведе и до разпространение на зловреден софтуер под формата на прикачени файлове към електронна поща. Такъв зловреден софтуер, както и убедителни вериги от имейли без използване на зловреден софтуер, могат да доведат до изтичане на чувствителна или лична информация (PII), която по-късно да бъде използвана за последващи измами или изнудване.

„Атаките BEC се отличават в индустрията на киберпрестъпленията с това, че акцентират върху социалното инженерство и изкуството на измамата“, казват от Microsoft.

„Вместо да се възползват от уязвимостите в неактуализирани устройства, операторите на BEC се стремят да използват ежедневното море от имейл трафик и други съобщения, за да подмамят жертвите да предоставят финансова информация или да предприемат пряко действие, като например несъзнателно изпращане на средства към сметки на парични мулета, които помагат на престъпниците да извършват измамни парични преводи.“

Преобладаващото опасение е, че атаките не само стават все по-сложни и по-чести, но и инструменти като BulletProftLink позволяват такива атаки да се извършват в по-големи мащаби, което увеличава трудностите при откриването и прекъсването им.

Препоръките на Microsoft са да се увеличат максимално настройките за сигурност на електронната поща. Да се маркират всички съобщения от външни страни, да се активират известия за непроверени изпращачи и да се блокират изпращачи с идентичност, която не може да бъде проверена.

Понижаването на допустимия риск за невъзможни пътувания също може да помогне. Не е необичайно работниците да вземат устройствата си и да работят от кафене в някакъв момент от деня, например.

Такова пътуване може да бъде разрешено при стандартните конфигурации, но предвид нарастването на тези атаки може да има смисъл да се ограничи движението още повече от основното работно място.

Включването на силна автентикация, като например MFA или пароли без достъп, може да направи компрометирането на имейл акаунти много по-трудно за нападателите и се разглежда като задължителна мярка за сигурност за всички организации.

Обучението на служителите за разпознаване на тези видове атаки също може да бъде от полза, като води до ръчно подаване на сигнали, които след това могат да бъдат отстранени от ИТ администратора или екипа по сигурността.

 

 

Източник: itpro.co.uk

Подобни публикации

10 септември 2024

Как да създадем и подобрим сигурността на крайн...

Поради голямата си атакувана повърхност, съставена от различни набо...
10 септември 2024

Кибератаките на „TIDrone“

Изследователите наричат „TIDrone“  заплахата, която активно преслед...
10 септември 2024

Използването на търговски шпионски софтуер се з...

Усилията на САЩ и други правителства да ограничат разработването, и...
10 септември 2024

300 000 души са засегнати от пробива на данните...

Avis Car Rental уведомява близо 300 000 души, че личната им информа...
10 септември 2024

Двама са обвинени в САЩ за организиране на паза...

САЩ повдигнаха обвинения на гражданин на Казахстан и гражданин на Р...
9 септември 2024

Шпионският софтуер Predator се появяви отново с...

Шпионският софтуер Predator се е появил отново с нова инфраструктур...
9 септември 2024

Един милион клиенти на Kaspersky в САЩ са прехв...

Клиентите на Kaspersky в Съединените щати са уведомени, че абонамен...
9 септември 2024

CISA сигнализира за грешки в ICS в продуктите н...

Миналата седмица американската Агенция за киберсигурност и инфрастр...
9 септември 2024

Progress LoadMaster е уязвим към недостатък на ...

Progress Software издаде спешна поправка за уязвимост с максимална ...
Бъдете социални
Още по темата
10/09/2024

Кибератаките на „TIDrone“

Изследователите наричат „TIDrone“  заплахата, която активно...
10/09/2024

300 000 души са засегнати о...

Avis Car Rental уведомява близо 300...
09/09/2024

CISA сигнализира за грешки ...

Миналата седмица американската Агенция за киберсигурност...
Последно добавени
10/09/2024

Как да създадем и подобрим ...

Поради голямата си атакувана повърхност, съставена...
10/09/2024

Кибератаките на „TIDrone“

Изследователите наричат „TIDrone“  заплахата, която активно...
10/09/2024

Използването на търговски ш...

Усилията на САЩ и други правителства...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!