يكشف بحث Sophos Active Adversary Playbook 2022 عن زيادة وقت إقامة مجرمي الإنترنت في شبكات ضحاياهم بنسبة 36٪

سوفوس، شركة عالمية رائدة في مجال الأمن السيبراني من الجيل التالي ، تم نشرها اليوم "دليل الخصم النشط 2022 "وهو التقرير الذي يلخص سلوكيات مجرمي الإنترنت التي لاحظها فريق الاستجابة السريعة سوفوس في الميدان خلال عام 2021.

تشير البيانات التي خرجت من البحث إلى أ زيادة بنسبة 36٪ في الوقت الذي يظل فيه مجرمو الإنترنت ضمن الأنظمة المتأثرة في عام 2021 بمتوسط ​​15 يومًا مقارنة بـ 11 يومًا في عام 2020.

يسلط التقرير الضوء أيضًا على تأثير ثغرات ProxyShell داخل Microsoft Exchange ، والتي تعتقد Sophos أن بعض وسطاء الوصول الأولي (IABs) يستغلونها لاختراق الشبكات ثم إعادة بيع وصولهم إلى الآخرين.

"لقد أصبح عالم الجرائم الإلكترونية متنوعًا ومتخصصًا بشكل لا يصدق. ال وسيط الوصول الأولي (التي تزود صناعة الجرائم الإلكترونية بإمكانية الوصول إلى أنظمة تكنولوجيا المعلومات الخاصة بالشركات) طورت صناعة حقيقية تخترق هدفًا ، وتستكشف بيئة تكنولوجيا المعلومات الخاصة بها أو تثبت بابًا خلفيًا ، ثم تعيد بيع الوصول إلى العصابات التي تتعامل معها. الفدية يشرح جون شيير ، كبير مستشاري الأمن في سوفوس. "في هذا السيناريو الديناميكي والمتخصص بشكل متزايد ، قد يكون من الصعب على الشركات مواكبة تطور الأدوات والأساليب التي يستخدمها مجرمو الإنترنت. من الضروري أن يعرف المدافع ما الذي يبحث عنه في كل مرحلة من مراحل تسلسل الهجوم ، حتى يتمكن من اكتشاف محاولات الاختراق وتحييدها في أسرع وقت ممكن ".

تُظهر أبحاث Sophos أيضًا أن وقت إقامة المتسللين أطول في بيئات تكنولوجيا المعلومات الخاصة بالشركات أكثر من معظمها صغير: حوالي 51 يومًا في الواقع مع ما يصل إلى 250 موظفًا مقابل 20 يومًا في تلك التي تضم 3.000 إلى 5.000 موظف.

"يضع مجرمو الإنترنت قيمة أكبر للشركات الكبيرة ، لذا فهم أكثر حماسًا للدخول ، والقيام بما يتعين عليهم القيام به ، ثم الخروج. الشركات الصغيرة لديها "قيمة" متصورة أقل ، لذلك يمكن للمهاجمين البقاء داخل الشبكة لفترات أطول من الوقت. من الممكن أيضًا في هذه الحالات أن يكون المهاجمون أقل خبرة وبالتالي يستغرقون وقتًا أطول لمعرفة ما يجب فعله مرة واحدة داخل الشبكة. كما أن الشركات الصغيرة بشكل عام لديها رؤية أقل في تسلسل الهجمات وبالتالي تواجه صعوبة أكبر في اكتشاف الانتهاكات وتحييدها ، وبالتالي إطالة أمد وجود مجرمي الإنترنت "، يعلق شيير. "مع الفرص الناشئة عن ثغرات ProxyLogon و ProxyShell التي لم يتم حلها وانتشار وسطاء الوصول المبدئي ، فإننا نتحقق بشكل متزايد من وجود مهاجمين متعددين داخل نفس الضحية. إذا كان هناك المزيد من المجرمين في شبكة ما ، فسيرغب كل منهم في التصرف بأسرع ما يمكن للتغلب على المنافسة في الوقت المحدد ".

 من بين البيانات الأكثر صلة التي ظهرت ، يجب ملاحظة ما يلي:

• يعد متوسط ​​طول الفترة الزمنية التي يبقى فيها مجرمو الإنترنت قبل اكتشافهم أكبر بالنسبة لعمليات التسلل التي لا تؤدي إلى هجمات علنية مثل برامج الفدية ، وللشركات الصغيرة وقطاعات الأعمال الأصغر التي لديها موارد أمان أقل لتكنولوجيا المعلومات. القيمة المتوسطة لوقت الإقامة في الشركات المتضررة من برامج الفدية هي كان 11 يومًا. في حالة الاختراقات التي لم تتبعها هجمات واضحة مثل برامج الفدية (23٪ من جميع الحوادث التي تم تحليلها) ، كان الوسيط 34 يومًا. سجلت الوقائع التي تنتمي إلى قطاع المدرسة أو التي تضم أقل من 500 موظف فترات إقامة أطول.

• تترك أوقات السكون الأطول ونقاط الوصول المفتوحة الشركات عرضة لهجمات متعددة. كانت هناك أدلة على حالات تعرضت فيها الشركة نفسها لهجمات من أعداء متعددين مثل IAB ، عصابات متخصصة في rأنسومواريو cryptominers وحتى في بعض الأحيان المشغلين المرتبطين ببرامج الفدية المتعددة.

• على الرغم من انخفاض استخدام بروتوكول سطح المكتب البعيد (RDP) للوصول الخارجي ، فقد زاد المهاجمون من استخدامه لأغراض الحركة الجانبية الداخلية. في عام 2020 ، تم استخدام RDP للأنشطة الخارجية في 32٪ من الحالات التي تم تحليلها ، انخفض الرقم إلى 13٪ في عام 2021. في حين أن هذا التغيير مرحب به ويقترح إدارة أفضل لأسطح الهجمات الخارجية من قبل الشركات ، يستمر مجرمو الإنترنت في إساءة استخدام RDP لتحركاتهم الجانبية الداخلية. وجد سوفوس أن استخدام الـ RDP للحركات الجانبية الداخلية حدث في 82٪ من الحالات التي تم تحليلها في عام 2021 ضد 69% من 2020

• تعتبر المجموعات الشائعة من الأدوات المستخدمة للهجوم علامة تحذير على نشاط غير مرغوب فيه. على سبيل المثال ، وجدت تحليلات الحوادث الأمنية أنه تمت ملاحظة البرامج النصية في عام 2021 نصوص PowerShell والبرامج الضارة بخلاف PowerShell معًا بنسبة 64٪ من الوقت; PowerShell و Cobalt Strike معًا في 56٪ من الحالات و PowerShell و PsExec معًا في 51٪ من الحالات. يمكن أن يكون اكتشاف مثل هذه الارتباطات بمثابة تحذير مبكر لهجوم وشيك أو كتأكيد على هجوم قيد التقدم.

• 50٪ من حوادث برامج الفدية التي تمت ملاحظتها تضمنت سرقة البيانات - ومع توفر البيانات ، كان متوسط ​​الفاصل الزمني بين سرقة البيانات وتفعيل برامج الفدية 4,28 يومًا. 73٪ من الحوادث التي تدخلت Sophos فيها عام 2021 تضمنت حالات من برامج الفدية. ومن بين هؤلاء ، 50٪ من تلك الحالات تضمنت أيضًا استخراج البيانات. غالبًا ما يكون الاستخراج هو المرحلة الأخيرة من الهجوم قبل تنشيط برنامج الفدية ، وقد حسبت تحليلات الحوادث متوسط ​​الفاصل الزمني بين الحدثين البالغ 4,28 يومًا بمتوسط ​​1,84 يومًا.

• كونتي كانت العصابة معظم برامج الفدية غزيرة من بين تلك التي لوحظت في عام 2021 ، مسؤولة عن 18٪ من إجمالي الحوادث. انتزاع الفدية ريفل تضمنت 1 من كل 10 حوادث ، بينما كانت عائلات برامج الفدية الأخرى واسعة الانتشار الجانب المظلم، RaaS المذنب بالهجوم على خط الأنابيب الاستعماري في الولايات المتحدة ، هـ الملك الأسود دوم، إحدى العائلات "الجديدة" من برامج الفدية التي ظهرت في مارس 2021 في أعقاب ثغرة ProxyLogon. تم تحديد 41 من مشغلي برامج الفدية المختلفة في 144 حادثًا شملها التحليل ؛ من بينها 28 مجموعة جديدة ظهرت لأول مرة في عام 2021. واختفت 2020 عصابة مسؤولة عن حوادث في عام 2021 من قائمة XNUMX.

يوضح Shier قائلاً: "تتضمن العلامات التي يجب أن تنبه مديري أمن تكنولوجيا المعلومات اكتشاف أداة أو مجموعة من الأدوات أو الأنشطة في نقطة غير متوقعة على الشبكة أو في لحظة غير متوقعة". "يجدر بنا أن نتذكر أنه قد تكون هناك أوقات يكون فيها نشاط ضئيل أو معدوم ، لكن هذا لا يعني أن الشركة لم تتعرض للاختراق. من المحتمل ، على سبيل المثال ، وجود العديد من انتهاكات ProxyLogon أو ProxyShell أكثر مما هو معروف حاليًا ، حيث تم تثبيت قذائف الويب والأبواب الخلفية للحصول على وصول مستمر والتي تظل حاليًا غير نشطة حتى يتم استخدام الوصول أو إعادة بيعه للآخرين. يجب تطبيق التصحيحات لإصلاح الأخطاء الحرجة ، لا سيما في البرامج الشائعة ، وكأولوية ، تعزيز أمان خدمات الوصول عن بُعد. إلى أن يتم إغلاق نقاط الدخول المكشوفة والقضاء على كل ما فعله المهاجمون لإنشاء وصيانة الوصول ، سيتمكن أي شخص من الدخول معهم ، وربما سيفعل ذلك ".

تستند دراسة Sophos Active Adversary Playbook 2022 إلى 144 حادثة وقعت في عام 2021 في شركات من جميع الأحجام وقطاعات الأعمال الموجودة في البلدان التالية: الولايات المتحدة الأمريكية ، كندا ، المملكة المتحدة ، ألمانيا ، إيطاليا ، إسبانيا ، فرنسا ، سويسرا ، بلجيكا ، هولندا ، النمسا ، والإمارات العربية المتحدة ، والمملكة العربية السعودية ، والفلبين ، وجزر الباهاما ، وأنغولا ، واليابان.

القطاعات الأكثر تمثيلاً هي الصناعة (17٪) ، التجزئة (14٪) ، الرعاية الصحية (13٪) ، تكنولوجيا المعلومات (9٪) ، البناء (8٪) والمدارس (6٪).

الهدف من تقرير Sophos هو مساعدة مديري الأمن السيبراني على فهم ما يفعله خصومهم أثناء الهجمات وكيفية اكتشاف وحماية أنفسهم من الأنشطة الضارة المنتشرة على الشبكة. لمزيد من المعلومات حول سلوكيات مجرمي الإنترنت وأدواتهم وتقنياتهم ، راجع Sophos Active Adversary Playbook 2022 على Sophos News.