Η έρευνα του Sophos Active Adversary Playbook 2022 αποκαλύπτει ότι «ο χρόνος παραμονής των εγκληματιών στον κυβερνοχώρο στα δίκτυα των θυμάτων τους» αυξήθηκε κατά 36%

Sophos, παγκόσμιος ηγέτης στην κυβερνοασφάλεια επόμενης γενιάς, δημοσίευσε σήμερα το "Active Adversary Playbook 2022 ", η έκθεση που συνοψίζει τις κυβερνοεγκληματικές συμπεριφορές που παρατηρήθηκαν στο πεδίο από την ομάδα Ταχείας Αντίδρασης της Sophos κατά το 2021.

Τα στοιχεία που προέκυψαν από την έρευνα δείχνουν α Αύξηση 36% στον χρόνο που οι εγκληματίες του κυβερνοχώρου παραμένουν στα επηρεαζόμενα συστήματα το 2021 με διάμεσο 15 ημέρες σε σύγκριση με 11 το 2020.

Η αναφορά υπογραμμίζει επίσης τον αντίκτυπο των τρωτών σημείων ProxyShell στο Microsoft Exchange, τα οποία η Sophos πιστεύει ότι εκμεταλλεύονται ορισμένοι Initial Access Brokers (IAB) για να παραβιάσουν δίκτυα και στη συνέχεια να μεταπωλήσουν την πρόσβασή τους σε άλλα.

«Ο κόσμος του εγκλήματος στον κυβερνοχώρο έχει γίνει απίστευτα ποικιλόμορφος και εξειδικευμένος. ο Initial Access Broker (που παρέχουν στη βιομηχανία του εγκλήματος στον κυβερνοχώρο πρόσβαση σε εταιρικά συστήματα πληροφορικής) έχουν αναπτύξει μια πραγματική βιομηχανία που εισβάλλει σε έναν στόχο, εξερευνά το περιβάλλον πληροφορικής του ή εγκαθιστά μια κερκόπορτα και στη συνέχεια μεταπωλεί πρόσβαση στις συμμορίες που ασχολούνται με αυτό. από ransomware εξηγεί ο John Shier, ανώτερος σύμβουλος ασφαλείας της Sophos. «Σε αυτό το όλο και πιο δυναμικό και εξειδικευμένο σενάριο, μπορεί να είναι δύσκολο για τις εταιρείες να συμβαδίσουν με την εξέλιξη των εργαλείων και των προσεγγίσεων που χρησιμοποιούν οι εγκληματίες του κυβερνοχώρου. Είναι σημαντικό ο αμυνόμενος να ξέρει τι να αναζητήσει σε κάθε στάδιο της σειράς επίθεσης, ώστε να μπορεί να ανιχνεύσει και να εξουδετερώσει τις προσπάθειες παραβίασης όσο το δυνατόν γρηγορότερα».

Η έρευνα της Sophos δείχνει επίσης ότι ο χρόνος παραμονής των εισβολέων είναι μεγαλύτερος σε εταιρικά περιβάλλοντα πληροφορικής από τα περισσότερα μικρή: περίπου 51 ημέρες στην πραγματικότητα με έως και 250 εργαζόμενους έναντι 20 ημερών σε εκείνες με 3.000 έως 5.000 εργαζόμενους.

«Οι εγκληματίες του κυβερνοχώρου δίνουν μεγαλύτερη αξία στις μεγαλύτερες εταιρείες, επομένως έχουν περισσότερα κίνητρα να μπουν μέσα, να κάνουν ό,τι πρέπει και μετά να βγουν έξω. Οι μικρότερες εταιρείες έχουν χαμηλότερη αντιληπτή «αξία», επομένως οι εισβολείς μπορούν να αντέξουν οικονομικά να παραμείνουν εντός του δικτύου για μεγαλύτερες χρονικές περιόδους. Είναι επίσης πιθανό σε αυτές τις περιπτώσεις οι εισβολείς να είναι λιγότερο έμπειροι και επομένως χρειάζονται περισσότερο χρόνο για να καταλάβουν τι πρέπει να κάνουν όταν εισέλθουν στο δίκτυο. Οι μικρές επιχειρήσεις έχουν επίσης γενικά λιγότερη ορατότητα σε αλληλουχίες επιθέσεων και, κατά συνέπεια, δυσκολεύονται να εντοπίσουν και να εξουδετερώσουν τις παραβιάσεις, παρατείνοντας έτσι την παρουσία των εγκληματιών του κυβερνοχώρου», σχολιάζει ο Shier. «Με τις ευκαιρίες που προκύπτουν από τις ανεπίλυτες ευπάθειες ProxyLogon και ProxyShell και την εξάπλωση των Initial Access Brokers, ελέγχουμε ολοένα και περισσότερο για πολλούς εισβολείς στο ίδιο θύμα. Εάν υπάρχουν περισσότεροι εγκληματίες σε ένα δίκτυο, καθένας από αυτούς θα θέλει να δράσει όσο το δυνατόν γρηγορότερα για να νικήσει τον ανταγωνισμό εγκαίρως».

 Ανάμεσα στα πιο σχετικά στοιχεία που προέκυψαν, πρέπει να σημειωθούν τα ακόλουθα:

• Η διάμεση διάρκεια παραμονής των εγκληματιών στον κυβερνοχώρο πριν ανακαλυφθούν είναι μεγαλύτερη για εισβολές μυστικότητας που δεν πυροδοτούν εμφανείς επιθέσεις όπως ransomware, και για μικρές επιχειρήσεις και μικρότερα τμήματα επιχειρήσεων που διαθέτουν λιγότερους πόρους ασφάλειας πληροφορικής. Η διάμεση αξία του χρόνου παραμονής σε εταιρείες που επηρεάζονται από το ransomware είναι πέρασαν 11 μέρες. Σε περίπτωση παραβιάσεων που δεν ακολουθήθηκαν από προφανείς επιθέσεις όπως ransomware (23% όλων των περιστατικών που αναλύθηκαν), ο διάμεσος ήταν 34 ημέρες. Οι πραγματικότητες που ανήκουν στον σχολικό τομέα ή με λιγότερους από 500 υπαλλήλους κατέγραψαν ακόμη μεγαλύτερους χρόνους παραμονής.

• Οι μεγαλύτεροι χρόνοι παραμονής και τα ανοιχτά σημεία πρόσβασης αφήνουν τις εταιρείες εκτεθειμένες σε πολλαπλές επιθέσεις. Υπήρχαν στοιχεία για περιπτώσεις όπου η ίδια εταιρεία δέχθηκε επιθέσεις από πολλούς αντιπάλους όπως η IAB, συμμορίες που ειδικεύονται στο ransomware, cryptominers και περιστασιακά ακόμη και χειριστές που συνδέονται με πολλαπλά ransomware.

• Παρά τη μείωση της χρήσης του πρωτοκόλλου απομακρυσμένης επιφάνειας εργασίας (RDP) για εξωτερική πρόσβαση, οι εισβολείς έχουν αυξήσει τη χρήση του για σκοπούς εσωτερικής πλευρικής κίνησης. Το 2020, το ΠΑΑ χρησιμοποιήθηκε για εξωτερικές δραστηριότητες στο 32% των περιπτώσεων που αναλύθηκαν, Το ποσοστό μειώθηκε στο 13% το 2021. Αν και αυτή η αλλαγή είναι ευπρόσδεκτη και προτείνει καλύτερη διαχείριση των επιφανειών εξωτερικών επιθέσεων από εταιρείες, οι εγκληματίες του κυβερνοχώρου συνεχίζουν να καταχρώνται το RDP για τις εσωτερικές πλευρικές κινήσεις τους. Η Sophos διαπίστωσε ότι η χρήση RDP για εσωτερικές πλευρικές κινήσεις συνέβη στο 82% των περιπτώσεων που αναλύθηκαν το 2021 μετρητής il 69% del 2020

• Οι κοινοί συνδυασμοί εργαλείων που χρησιμοποιούνται για την επίθεση είναι ένα προειδοποιητικό σημάδι ανεπιθύμητης δραστηριότητας. Για παράδειγμα, οι αναλύσεις συμβάντων ασφαλείας διαπίστωσαν ότι τα σενάρια παρατηρήθηκαν το 2021 Κακόβουλα σενάρια PowerShell και μη PowerShell μαζί στο 64% των περιπτώσεων; PowerShell και Cobalt Strike μαζί στο 56% των περιπτώσεων? Και PowerShell και PsExec μαζί στο 51% των περιπτώσεων. Η ανίχνευση τέτοιων συσχετίσεων μπορεί να χρησιμεύσει ως έγκαιρη προειδοποίηση για μια επικείμενη επίθεση ή ως επιβεβαίωση μιας επίθεσης σε εξέλιξη.

• Το 50% των παρατηρηθέντων περιστατικών ransomware αφορούσαν εξαγωγή δεδομένων - και με τα διαθέσιμα δεδομένα, το μέσο διάστημα μεταξύ της κλοπής δεδομένων και της ενεργοποίησης του ransomware ήταν 4,28 ημέρες. Το 73% των περιστατικών στα οποία παρενέβη η Sophos το 2021 αφορούσαν περιπτώσεις ransomware. Από αυτά, το 50% αφορούσε επίσης την εξαγωγή δεδομένων. Η διήθηση είναι συχνά το τελευταίο στάδιο μιας επίθεσης πριν από την ενεργοποίηση του ransomware και οι αναλύσεις περιστατικών υπολόγισαν ένα μέσο διάστημα μεταξύ των δύο συμβάντων 4,28 ημερών με διάμεσο 1,84 ημέρες.

• Conti ήταν η συμμορία το πιο παραγωγικό ransomware μεταξύ αυτών που παρατηρήθηκαν το 2021, υπεύθυνο για το 18% των συνολικών περιστατικών. Το ransomware Κακά περιλάμβανε 1 στα 10 περιστατικά, ενώ άλλες ευρέως διαδεδομένες οικογένειες ransomware Darkside, ο ένοχος RaaS για την επίθεση στον αγωγό Colonial στις ΗΠΑ, π.χ Black King Dom, μια από τις «νέες» οικογένειες ransomware που εμφανίστηκαν τον Μάρτιο του 2021 μετά την ευπάθεια ProxyLogon. 41 διαφορετικοί χειριστές ransomware εντοπίστηκαν στα 144 περιστατικά που καλύπτονται από την ανάλυση. Από αυτές, οι 28 είναι νέες ομάδες που εμφανίστηκαν για πρώτη φορά το 2021. Δεκαοκτώ συμμορίες υπεύθυνες για ατυχήματα το 2020 εξαφανίστηκαν από τη λίστα του 2021

«Τα σημάδια που θα πρέπει να ειδοποιούν τους διαχειριστές ασφάλειας πληροφορικής περιλαμβάνουν τον εντοπισμό ενός εργαλείου, έναν συνδυασμό εργαλείων ή δραστηριοτήτων σε ένα απροσδόκητο σημείο του δικτύου ή σε μια απροσδόκητη στιγμή», εξηγεί ο Shier. «Αξίζει να θυμόμαστε ότι μπορεί να υπάρχουν στιγμές μικρής ή καθόλου δραστηριότητας, αλλά αυτό δεν σημαίνει ότι μια εταιρεία δεν έχει χακαριστεί. Είναι πιθανό, για παράδειγμα, πολλές περισσότερες παραβιάσεις του ProxyLogon ή του ProxyShell από όσες είναι γνωστές επί του παρόντος, όπου έχουν εγκατασταθεί κελύφη ιστού και κερκόπορτες για να αποκτήσουν μόνιμη πρόσβαση και οι οποίες επί του παρόντος παραμένουν ανενεργές έως ότου η πρόσβαση χρησιμοποιηθεί ή μεταπωληθεί σε άλλους. Πρέπει να εφαρμοστούν ενημερώσεις κώδικα για τη διόρθωση σημαντικών σφαλμάτων, ειδικά σε δημοφιλές λογισμικό και, κατά προτεραιότητα, για την ενίσχυση της ασφάλειας των υπηρεσιών απομακρυσμένης πρόσβασης. Μέχρι να κλείσουν τα εκτεθειμένα σημεία εισόδου και να εξαλειφθεί ό,τι έχουν κάνει οι επιτιθέμενοι για να δημιουργήσουν και να διατηρήσουν την πρόσβαση, οποιοσδήποτε θα μπορεί να εισέλθει μαζί τους, και πιθανότατα θα ».

Η μελέτη Sophos Active Adversary Playbook 2022 βασίζεται σε 144 περιστατικά που συνέβησαν το 2021 σε εταιρείες όλων των μεγεθών και επιχειρηματικών τομέων που βρίσκονται στις ακόλουθες χώρες: ΗΠΑ, Καναδάς, Ηνωμένο Βασίλειο, Γερμανία, Ιταλία, Ισπανία, Γαλλία, Ελβετία, Βέλγιο, Ολλανδία , Αυστρία, Ηνωμένα Αραβικά Εμιράτα, Σαουδική Αραβία, Φιλιππίνες, Μπαχάμες, Αγκόλα και Ιαπωνία.

Οι τομείς που εκπροσωπούνται περισσότερο είναι η βιομηχανία (17%), το λιανικό εμπόριο (14%), η υγειονομική περίθαλψη (13%), η πληροφορική (9%), οι κατασκευές (8%) και τα σχολεία (6%).

Ο στόχος της έκθεσης Sophos είναι να βοηθήσει τους διαχειριστές κυβερνοασφάλειας να κατανοήσουν τι κάνουν οι αντίπαλοί τους κατά τη διάρκεια επιθέσεων και πώς να ανιχνεύουν και να προστατεύονται από κακόβουλη δραστηριότητα που κυκλοφορεί στο δίκτυο. Για περισσότερες πληροφορίες σχετικά με τις συμπεριφορές, τα εργαλεία και τις τεχνικές των εγκληματιών του κυβερνοχώρου, ανατρέξτε στο Sophos Active Adversary Playbook 2022 στο Sophos News.