Търсене
Close this search box.

Платформата, която поддържа следващото поколение престъпления – поглед отвътре

Години наред зловредна платформа се използва с нарастващи темпове от киберпрестъпниците за извършване на „индустриални“ имейл атаки срещу предприятия.

Microsoft оповести бързото приемане на платформи като BulletProftLink в доклад в петък, в който се казва, че инструментите се използват широко за извършване на изключително сложни атаки за компрометиране на бизнес електронна поща (BEC).

Тези платформи предлагат на киберпрестъпниците пълен набор от инструменти за извършване на BEC атаки, включително легитимно изглеждащи шаблони за имейли, хостинг и автоматизирани услуги за извършване на атаки.

В доклада на Microsoft се отбелязва, че все по-широкото разпространение на BulletProftLink и подобните на нея предлагат нови начини за успешното монетизиране на киберпрестъпленията като услуга (CaaS) от страна на подземната индустрия.

Отделът за цифрови престъпления на компанията заяви, че между 2019 и 2020 г. наблюдава 38% увеличение на атаките CaaS, насочени конкретно към бизнес електронна поща.

Как работи BulletProftLink?

Съществуват редица уникални възможности, които правят атаките, които се извършват с помощта на инструментите на BulletProftLink, трудни за разчленяване и анализ.

Най-забележителната от тях е тенденцията атакуващите да избягват  откритиване на невъзможни пътувания.

Много продукти за сигурност разполагат с детекции за невъзможни пътувания, които често могат да идентифицират и неутрализират акаунти, които са били компрометирани от киберпрестъпници.

Една организация е наясно с IP адресите, използвани от нейните служители в офиса и тези, които работят от разстояние.

Ако се знае, че един работник редовно влиза в акаунта си от Лондон, или ако една сутрин влезе в акаунта си от IP адрес, базиран в Лондон, но един час по-късно влезе в същия акаунт от IP адрес, базиран в Хонконг, например, това ще предизвика откриване на невъзможни пътувания.

Тогава екипите по сигурността обикновено биха разследвали случая, знаейки, че се извършва потенциална кибератака.

Този работник не би могъл да пътува между двата града в този времеви диапазон, което означава, че вероятно се извършва някаква злонамерена дейност.

Въоръжени с BulletProftLink, нападателите закупуват IP адреси от IP услуги, които съответстват на местоположението на тяхната цел.

След като създадат резидентни IP прокси сървъри, локализирани в местоположението на жертвата, нападателите могат да извършват атаки, като прикриват истинското си местоположение и избягват невъзможни засичания при пътуване.

„Резидентните IP адреси, съпоставени с местонахождението на жертвите в голям мащаб, предоставят на киберпрестъпниците способността и възможността да събират големи обеми компрометирани идентификационни данни и акаунти за достъп“, казва Microsoft в доклада си Cyber Signals. „Заплахите използват IP/прокси услуги, които търговците и други лица могат да използват за проучвания, за да мащабират тези атаки.

„Един от доставчиците на IP услуги например разполага със 100 милиона IP адреса, които могат да бъдат ротирани или променяни всяка секунда.“

BulletProftLink също така отива една стъпка по-далеч от платформите за фишинг като услуга, към които се насочват много киберпрестъпници, като Evil Proxy, Naked Pages и Caffeine.

Всички тези платформи предлагат на нападателите възможности за извършване на фишинг атаки в голям мащаб, като използват компрометирани идентификационни данни, но BulletProftLink използва блокчейн за своя хостинг.

Според Microsoft този децентрализиран дизайн на шлюза позволява на платформата да хоства фишинг и BEC уебсайтове по децентрализиран начин, което значително затруднява прекъсването на работата ѝ.

Обикновено Microsoft и други организации за уеб сигурност могат да проследят и локализират произхода на зловредното съдържание и да предприемат стъпки за премахване на източника от интернет.

Макар че всяка отделна фишинг връзка може да бъде блокирана или премахната, проследяването на източника в публичен блокчейн е много по-трудно, отколкото при типична кампания, хоствана в уеб2.

Защо BEC е такава заплаха?

BEC е вид фишинг атака, която е насочена към конкретно лице, обикновено високопоставен служител в организация, който има правомощия да извършва големи финансови трансфери

Целта на атаките е да убедят това високопоставено лице да прехвърли средства в привидно легитимна сметка, която всъщност се контролира от киберпрестъпниците.

Телеметрията на Microsoft показва, че през миналата година е имало 35 милиона опита за BEC атаки, което се равнява на 156 000 на ден.

BEC може да доведе и до разпространение на зловреден софтуер под формата на прикачени файлове към електронна поща. Такъв зловреден софтуер, както и убедителни вериги от имейли без използване на зловреден софтуер, могат да доведат до изтичане на чувствителна или лична информация (PII), която по-късно да бъде използвана за последващи измами или изнудване.

„Атаките BEC се отличават в индустрията на киберпрестъпленията с това, че акцентират върху социалното инженерство и изкуството на измамата“, казват от Microsoft.

„Вместо да се възползват от уязвимостите в неактуализирани устройства, операторите на BEC се стремят да използват ежедневното море от имейл трафик и други съобщения, за да подмамят жертвите да предоставят финансова информация или да предприемат пряко действие, като например несъзнателно изпращане на средства към сметки на парични мулета, които помагат на престъпниците да извършват измамни парични преводи.“

Преобладаващото опасение е, че атаките не само стават все по-сложни и по-чести, но и инструменти като BulletProftLink позволяват такива атаки да се извършват в по-големи мащаби, което увеличава трудностите при откриването и прекъсването им.

Препоръките на Microsoft са да се увеличат максимално настройките за сигурност на електронната поща. Да се маркират всички съобщения от външни страни, да се активират известия за непроверени изпращачи и да се блокират изпращачи с идентичност, която не може да бъде проверена.

Понижаването на допустимия риск за невъзможни пътувания също може да помогне. Не е необичайно работниците да вземат устройствата си и да работят от кафене в някакъв момент от деня, например.

Такова пътуване може да бъде разрешено при стандартните конфигурации, но предвид нарастването на тези атаки може да има смисъл да се ограничи движението още повече от основното работно място.

Включването на силна автентикация, като например MFA или пароли без достъп, може да направи компрометирането на имейл акаунти много по-трудно за нападателите и се разглежда като задължителна мярка за сигурност за всички организации.

Обучението на служителите за разпознаване на тези видове атаки също може да бъде от полза, като води до ръчно подаване на сигнали, които след това могат да бъдат отстранени от ИТ администратора или екипа по сигурността.

 

 

Източник: itpro.co.uk

Подобни публикации

21 май 2024

Arm ще пусне чипове с ИИ през 2025 година

Съобщава се, че базираната в Обединеното кралство компания Arm, еди...
20 май 2024

Атака над ARRL постави радиолюбителите по света...

Американската радиорелейна лига (ARRL) предупреждава, че е претърпя...

Защита на вашите коммити от известни CVEs с Git...

Всички разработчици искат да създават сигурен и надежден софтуер. Т...
20 май 2024

Чрез GitHub и FileZilla се доставя коктейл от ...

Наблюдавана е „многостранна кампания“, при която се зло...
20 май 2024

7 бъга излезли на Pwn2Own все още чакат поправка

Редица сериозни грешки в Windows все още не са навлезли в криминалн...
20 май 2024

Китайци са арестувани за пране на 73 милиона до...

Министерството на правосъдието на САЩ повдигна обвинения на двама а...
Бъдете социални
Още по темата
20/05/2024

Атака над ARRL постави ради...

Американската радиорелейна лига (ARRL) предупреждава, че...
20/05/2024

Защита на вашите коммити от...

Всички разработчици искат да създават сигурен...
20/05/2024

Чрез GitHub и FileZilla се ...

Наблюдавана е „многостранна кампания“, при която...
Последно добавени
21/05/2024

Arm ще пусне чипове с ИИ пр...

Съобщава се, че базираната в Обединеното...
20/05/2024

Атака над ARRL постави ради...

Американската радиорелейна лига (ARRL) предупреждава, че...
20/05/2024

Защита на вашите коммити от...

Всички разработчици искат да създават сигурен...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!