Години наред зловредна платформа се използва с нарастващи темпове от киберпрестъпниците за извършване на „индустриални“ имейл атаки срещу предприятия.
Microsoft оповести бързото приемане на платформи като BulletProftLink в доклад в петък, в който се казва, че инструментите се използват широко за извършване на изключително сложни атаки за компрометиране на бизнес електронна поща (BEC).
Тези платформи предлагат на киберпрестъпниците пълен набор от инструменти за извършване на BEC атаки, включително легитимно изглеждащи шаблони за имейли, хостинг и автоматизирани услуги за извършване на атаки.
В доклада на Microsoft се отбелязва, че все по-широкото разпространение на BulletProftLink и подобните на нея предлагат нови начини за успешното монетизиране на киберпрестъпленията като услуга (CaaS) от страна на подземната индустрия.
Отделът за цифрови престъпления на компанията заяви, че между 2019 и 2020 г. наблюдава 38% увеличение на атаките CaaS, насочени конкретно към бизнес електронна поща.
Съществуват редица уникални възможности, които правят атаките, които се извършват с помощта на инструментите на BulletProftLink, трудни за разчленяване и анализ.
Най-забележителната от тях е тенденцията атакуващите да избягват откритиване на невъзможни пътувания.
Много продукти за сигурност разполагат с детекции за невъзможни пътувания, които често могат да идентифицират и неутрализират акаунти, които са били компрометирани от киберпрестъпници.
Една организация е наясно с IP адресите, използвани от нейните служители в офиса и тези, които работят от разстояние.
Ако се знае, че един работник редовно влиза в акаунта си от Лондон, или ако една сутрин влезе в акаунта си от IP адрес, базиран в Лондон, но един час по-късно влезе в същия акаунт от IP адрес, базиран в Хонконг, например, това ще предизвика откриване на невъзможни пътувания.
Тогава екипите по сигурността обикновено биха разследвали случая, знаейки, че се извършва потенциална кибератака.
Този работник не би могъл да пътува между двата града в този времеви диапазон, което означава, че вероятно се извършва някаква злонамерена дейност.
Въоръжени с BulletProftLink, нападателите закупуват IP адреси от IP услуги, които съответстват на местоположението на тяхната цел.
След като създадат резидентни IP прокси сървъри, локализирани в местоположението на жертвата, нападателите могат да извършват атаки, като прикриват истинското си местоположение и избягват невъзможни засичания при пътуване.
„Резидентните IP адреси, съпоставени с местонахождението на жертвите в голям мащаб, предоставят на киберпрестъпниците способността и възможността да събират големи обеми компрометирани идентификационни данни и акаунти за достъп“, казва Microsoft в доклада си Cyber Signals. „Заплахите използват IP/прокси услуги, които търговците и други лица могат да използват за проучвания, за да мащабират тези атаки.
„Един от доставчиците на IP услуги например разполага със 100 милиона IP адреса, които могат да бъдат ротирани или променяни всяка секунда.“
BulletProftLink също така отива една стъпка по-далеч от платформите за фишинг като услуга, към които се насочват много киберпрестъпници, като Evil Proxy, Naked Pages и Caffeine.
Всички тези платформи предлагат на нападателите възможности за извършване на фишинг атаки в голям мащаб, като използват компрометирани идентификационни данни, но BulletProftLink използва блокчейн за своя хостинг.
Според Microsoft този децентрализиран дизайн на шлюза позволява на платформата да хоства фишинг и BEC уебсайтове по децентрализиран начин, което значително затруднява прекъсването на работата ѝ.
Обикновено Microsoft и други организации за уеб сигурност могат да проследят и локализират произхода на зловредното съдържание и да предприемат стъпки за премахване на източника от интернет.
Макар че всяка отделна фишинг връзка може да бъде блокирана или премахната, проследяването на източника в публичен блокчейн е много по-трудно, отколкото при типична кампания, хоствана в уеб2.
BEC е вид фишинг атака, която е насочена към конкретно лице, обикновено високопоставен служител в организация, който има правомощия да извършва големи финансови трансфери
Целта на атаките е да убедят това високопоставено лице да прехвърли средства в привидно легитимна сметка, която всъщност се контролира от киберпрестъпниците.
Телеметрията на Microsoft показва, че през миналата година е имало 35 милиона опита за BEC атаки, което се равнява на 156 000 на ден.
BEC може да доведе и до разпространение на зловреден софтуер под формата на прикачени файлове към електронна поща. Такъв зловреден софтуер, както и убедителни вериги от имейли без използване на зловреден софтуер, могат да доведат до изтичане на чувствителна или лична информация (PII), която по-късно да бъде използвана за последващи измами или изнудване.
„Атаките BEC се отличават в индустрията на киберпрестъпленията с това, че акцентират върху социалното инженерство и изкуството на измамата“, казват от Microsoft.
„Вместо да се възползват от уязвимостите в неактуализирани устройства, операторите на BEC се стремят да използват ежедневното море от имейл трафик и други съобщения, за да подмамят жертвите да предоставят финансова информация или да предприемат пряко действие, като например несъзнателно изпращане на средства към сметки на парични мулета, които помагат на престъпниците да извършват измамни парични преводи.“
Преобладаващото опасение е, че атаките не само стават все по-сложни и по-чести, но и инструменти като BulletProftLink позволяват такива атаки да се извършват в по-големи мащаби, което увеличава трудностите при откриването и прекъсването им.
Препоръките на Microsoft са да се увеличат максимално настройките за сигурност на електронната поща. Да се маркират всички съобщения от външни страни, да се активират известия за непроверени изпращачи и да се блокират изпращачи с идентичност, която не може да бъде проверена.
Понижаването на допустимия риск за невъзможни пътувания също може да помогне. Не е необичайно работниците да вземат устройствата си и да работят от кафене в някакъв момент от деня, например.
Такова пътуване може да бъде разрешено при стандартните конфигурации, но предвид нарастването на тези атаки може да има смисъл да се ограничи движението още повече от основното работно място.
Включването на силна автентикация, като например MFA или пароли без достъп, може да направи компрометирането на имейл акаунти много по-трудно за нападателите и се разглежда като задължителна мярка за сигурност за всички организации.
Обучението на служителите за разпознаване на тези видове атаки също може да бъде от полза, като води до ръчно подаване на сигнали, които след това могат да бъдат отстранени от ИТ администратора или екипа по сигурността.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.