O número de incidentes de comprometimento de e-mail comercial (BEC) dobrou no ano passado e substituiu o ransomware como a categoria de cibercrime mais prolífica, de acordo com a Secureworks. A empresa de detecção e resposta a ameaças compilou seu relatório Learning from Incident Response a partir de centenas de incidentes que foram chamados para investigar.
O relatório diz que o crescimento significativo nos volumes de BEC foi devido a um aumento na distribuição de phishing, que representou um terço (33%) dos vetores de acesso inicial — acima dos 13% em 2021. Ao mesmo tempo, o ransomware caiu de posição como o tipo de cibercrime mais comum, com detecções recuando 57%.
A Secureworks sugere que a queda pode ser causada por operadores de ameaças que visam organizações menores, que têm menos probabilidade de se envolver com empresas de resposta a incidentes como a própria fornecedora. Ao mesmo tempo, ela também avalia que isso pode representar uma mudança nas estratégias de monetização dos operadores de ameaças.
Mike McLellan, diretor de inteligência da Secureworks, argumenta que os ataques BEC podem gerar um grande retorno, mas exigem relativamente pouca habilidade técnica. “Os invasores podem distribuir phishing simultaneamente para várias organizações em busca de vítimas em potencial, sem a necessidade de empregar habilidades avançadas ou operar modelos complicados de afiliados”, acrescenta.
Essa análise está de acordo com um relatório recente da Trend Micro, que sugeriu que os grupos de ransomware procurarão cada vez mais adotar outros modelos criminosos que monetizam o acesso inicial, como o BEC.
Veja isso
Ataque de BEC rouba credenciais usando página da Evernote
Accenture: epidemia de roubo de dados alimenta ataques de BEC
Em outro relatório, a Secureworks afirmou que as vulnerabilidades em sistemas voltados para a internet representavam outro terço dos vetores de acesso inicial, alertando que são bugs conhecidos como Log4Shell, em vez de “dias zero”, que representam a maior ameaça. A empresa também registrou um ligeiro aumento nas atividades apoiadas por Estados-nação, aumentando de 6% para 9% de todos os ataques. A grande maioria (90%) estava ligada à China.
“Operadores de ameaças patrocinados por governos têm um propósito diferente daqueles que têm motivação financeira, mas as ferramentas e técnicas que eles usam geralmente são as mesmas. Por exemplo, operadores de ameaças chineses foram detectados implantando ransomware como uma cortina de fumaça para espionagem”, disse McLellan.
A intenção é diferente, mas o ransomware em si não é, diz ele. “O mesmo vale para o vetor de acesso inicial. Trata-se de colocar o pé na porta da maneira mais rápida e fácil possível, não importa a qual grupo você pertença. ”A maioria (79%) dos ataques em geral teve motivação financeira, embora a participação tenha sido menor do que nos anos anteriores”, disse a Secureworks.