Години наред зловредна платформа се използва с нарастващи темпове от киберпрестъпниците за извършване на „индустриални“ имейл атаки срещу предприятия.

Microsoft оповести бързото приемане на платформи като BulletProftLink в доклад в петък, в който се казва, че инструментите се използват широко за извършване на изключително сложни атаки за компрометиране на бизнес електронна поща (BEC).

Тези платформи предлагат на киберпрестъпниците пълен набор от инструменти за извършване на BEC атаки, включително легитимно изглеждащи шаблони за имейли, хостинг и автоматизирани услуги за извършване на атаки.

В доклада на Microsoft се отбелязва, че все по-широкото разпространение на BulletProftLink и подобните на нея предлагат нови начини за успешното монетизиране на киберпрестъпленията като услуга (CaaS) от страна на подземната индустрия.

Отделът за цифрови престъпления на компанията заяви, че между 2019 и 2020 г. наблюдава 38% увеличение на атаките CaaS, насочени конкретно към бизнес електронна поща.

Как работи BulletProftLink?

Съществуват редица уникални възможности, които правят атаките, които се извършват с помощта на инструментите на BulletProftLink, трудни за разчленяване и анализ.

Най-забележителната от тях е тенденцията атакуващите да избягват  откритиване на невъзможни пътувания.

Много продукти за сигурност разполагат с детекции за невъзможни пътувания, които често могат да идентифицират и неутрализират акаунти, които са били компрометирани от киберпрестъпници.

Една организация е наясно с IP адресите, използвани от нейните служители в офиса и тези, които работят от разстояние.

Ако се знае, че един работник редовно влиза в акаунта си от Лондон, или ако една сутрин влезе в акаунта си от IP адрес, базиран в Лондон, но един час по-късно влезе в същия акаунт от IP адрес, базиран в Хонконг, например, това ще предизвика откриване на невъзможни пътувания.

Тогава екипите по сигурността обикновено биха разследвали случая, знаейки, че се извършва потенциална кибератака.

Този работник не би могъл да пътува между двата града в този времеви диапазон, което означава, че вероятно се извършва някаква злонамерена дейност.

Въоръжени с BulletProftLink, нападателите закупуват IP адреси от IP услуги, които съответстват на местоположението на тяхната цел.

След като създадат резидентни IP прокси сървъри, локализирани в местоположението на жертвата, нападателите могат да извършват атаки, като прикриват истинското си местоположение и избягват невъзможни засичания при пътуване.

„Резидентните IP адреси, съпоставени с местонахождението на жертвите в голям мащаб, предоставят на киберпрестъпниците способността и възможността да събират големи обеми компрометирани идентификационни данни и акаунти за достъп“, казва Microsoft в доклада си Cyber Signals. „Заплахите използват IP/прокси услуги, които търговците и други лица могат да използват за проучвания, за да мащабират тези атаки.

„Един от доставчиците на IP услуги например разполага със 100 милиона IP адреса, които могат да бъдат ротирани или променяни всяка секунда.“

BulletProftLink също така отива една стъпка по-далеч от платформите за фишинг като услуга, към които се насочват много киберпрестъпници, като Evil Proxy, Naked Pages и Caffeine.

Всички тези платформи предлагат на нападателите възможности за извършване на фишинг атаки в голям мащаб, като използват компрометирани идентификационни данни, но BulletProftLink използва блокчейн за своя хостинг.

Според Microsoft този децентрализиран дизайн на шлюза позволява на платформата да хоства фишинг и BEC уебсайтове по децентрализиран начин, което значително затруднява прекъсването на работата ѝ.

Обикновено Microsoft и други организации за уеб сигурност могат да проследят и локализират произхода на зловредното съдържание и да предприемат стъпки за премахване на източника от интернет.

Макар че всяка отделна фишинг връзка може да бъде блокирана или премахната, проследяването на източника в публичен блокчейн е много по-трудно, отколкото при типична кампания, хоствана в уеб2.

Защо BEC е такава заплаха?

BEC е вид фишинг атака, която е насочена към конкретно лице, обикновено високопоставен служител в организация, който има правомощия да извършва големи финансови трансфери

Целта на атаките е да убедят това високопоставено лице да прехвърли средства в привидно легитимна сметка, която всъщност се контролира от киберпрестъпниците.

Телеметрията на Microsoft показва, че през миналата година е имало 35 милиона опита за BEC атаки, което се равнява на 156 000 на ден.

BEC може да доведе и до разпространение на зловреден софтуер под формата на прикачени файлове към електронна поща. Такъв зловреден софтуер, както и убедителни вериги от имейли без използване на зловреден софтуер, могат да доведат до изтичане на чувствителна или лична информация (PII), която по-късно да бъде използвана за последващи измами или изнудване.

„Атаките BEC се отличават в индустрията на киберпрестъпленията с това, че акцентират върху социалното инженерство и изкуството на измамата“, казват от Microsoft.

„Вместо да се възползват от уязвимостите в неактуализирани устройства, операторите на BEC се стремят да използват ежедневното море от имейл трафик и други съобщения, за да подмамят жертвите да предоставят финансова информация или да предприемат пряко действие, като например несъзнателно изпращане на средства към сметки на парични мулета, които помагат на престъпниците да извършват измамни парични преводи.“

Преобладаващото опасение е, че атаките не само стават все по-сложни и по-чести, но и инструменти като BulletProftLink позволяват такива атаки да се извършват в по-големи мащаби, което увеличава трудностите при откриването и прекъсването им.

Препоръките на Microsoft са да се увеличат максимално настройките за сигурност на електронната поща. Да се маркират всички съобщения от външни страни, да се активират известия за непроверени изпращачи и да се блокират изпращачи с идентичност, която не може да бъде проверена.

Понижаването на допустимия риск за невъзможни пътувания също може да помогне. Не е необичайно работниците да вземат устройствата си и да работят от кафене в някакъв момент от деня, например.

Такова пътуване може да бъде разрешено при стандартните конфигурации, но предвид нарастването на тези атаки може да има смисъл да се ограничи движението още повече от основното работно място.

Включването на силна автентикация, като например MFA или пароли без достъп, може да направи компрометирането на имейл акаунти много по-трудно за нападателите и се разглежда като задължителна мярка за сигурност за всички организации.

Обучението на служителите за разпознаване на тези видове атаки също може да бъде от полза, като води до ръчно подаване на сигнали, които след това могат да бъдат отстранени от ИТ администратора или екипа по сигурността.

 

 

Източник: itpro.co.uk

Подобни публикации

22 януари 2025

Продуктите за сграден контрол на ABB са засегна...

Изследовател твърди, че е открил над 1000 уязвимости в продукти, пр...
22 януари 2025

Над 380 000 долара са изплатени през първия ден...

Инициативата Zero Day Initiative (ZDI) на Trend Micro обяви резулта...
22 януари 2025

Бомбени заплахи в училища от цяла България

Десетки училища в цялата страна получихабомбени заплахи.. По първон...
22 януари 2025

Хиперволуметричните DDoS атаки зачестяват

Най-голямата до момента разпределена атака за отказ на услуга (DDoS...
22 януари 2025

Тръмп уволнява Съвета за киберсигурност

В писмо, изпратено днес, изпълняващият длъжността секретар на Минис...
22 януари 2025

Ботнетът Murdoc, вариант на Mirai, експлоатира ...

Изследователи в областта на киберсигурността предупредиха за нова ш...
Бъдете социални
Още по темата
22/01/2025

13 000 рутера MikroTik от ц...

Глобална мрежа от около 13 000...
21/01/2025

ИИ в киберсигурността: 20 г...

Изкуственият интелект се превърна в ключов...
21/01/2025

Злоупотреба с услугите на M...

Наблюдавани са две отделни заплахи, които...
Последно добавени
22/01/2025

Продуктите за сграден контр...

Изследовател твърди, че е открил над...
22/01/2025

Над 380 000 долара са изпла...

Инициативата Zero Day Initiative (ZDI) на...
22/01/2025

Бомбени заплахи в училища о...

Десетки училища в цялата страна получихабомбени...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!