تحقیقات Sophos Active Adversary Playbook 2022 نشان می‌دهد که زمان اقامت مجرمان سایبری در شبکه‌های قربانیانشان 36 درصد افزایش یافته است.

این افزایش عمدتاً مربوط به آسیب‌پذیری‌های ProxyLogon و ProxyShell و کارگزاران دسترسی اولیه است که دسترسی به شبکه‌های هک شده را مجدداً به مجرمان سایبری می‌فروشند. با وجود کاهش استفاده از پروتکل دسکتاپ از راه دور برای دسترسی خارجی، مهاجمان استفاده از این ابزار را برای حرکت جانبی داخلی در شبکه های آسیب دیده افزایش داده اند.

شرکت Sophos، یک رهبر جهانی در امنیت سایبری نسل بعدی، امروز منتشر شد "Active Adversary Playbook 2022 ", il report che riassume i comportamenti cybercriminali osservati sul campo dal team Rapid Response di Sophos nel corso del 2021.

داده های به دست آمده از تحقیق حاکی از الف افزایش 36 درصدی زمان ماندن مجرمان سایبری در سیستم های آسیب دیده در سال 2021 با میانگین 15 روز در مقایسه با 11 روز در سال 2020.

این گزارش همچنین بر تأثیر آسیب‌پذیری‌های ProxyShell در Microsoft Exchange تأکید می‌کند، که Sophos معتقد است توسط برخی از Initial Access Brokers (IAB) برای نفوذ به شبکه‌ها و سپس فروش مجدد دسترسی آنها به دیگران مورد سوء استفاده قرار می‌گیرد.

دنیای جرایم سایبری به طرز باورنکردنی متنوع و تخصصی شده است. را کارگزار دسترسی اولیه (که به صنعت جرایم سایبری دسترسی به سیستم‌های فناوری اطلاعات شرکت‌ها را فراهم می‌کنند) یک صنعت واقعی ایجاد کرده‌اند که هدفی را هک می‌کند، محیط IT آن را کاوش می‌کند یا یک درب پشتی نصب می‌کند و سپس دسترسی به باندهایی را که با آن سروکار دارند، دوباره می‌فروشد. باجافزار جان شییر، مشاور ارشد امنیتی سوفوس توضیح می دهد. در این سناریوی تخصصی و پویا، همگام شدن با تکامل ابزارها و رویکردهای مورد استفاده توسط مجرمان سایبری برای شرکت‌ها دشوار است. ضروری است که مدافع بداند در هر مرحله از توالی حمله به دنبال چه چیزی باشد، تا بتواند در سریع ترین زمان ممکن تلاش های نقض را شناسایی و خنثی کند."

تحقیقات Sophos همچنین نشان می‌دهد که زمان اقامت متجاوزان در محیط‌های IT شرکتی طولانی‌تر از محیط‌های IT است. کوچک: در واقع حدود 51 روز با حداکثر 250 کارمند در مقابل 20 روز در کسانی که 3.000 تا 5.000 کارمند دارند.

مجرمان سایبری برای شرکت‌های بزرگ‌تر ارزش بیشتری قائل می‌شوند، بنابراین انگیزه بیشتری برای ورود، انجام کارهایی که باید انجام دهند و سپس خارج می‌شوند. شرکت‌های کوچک‌تر «ارزش» کمتری دارند، بنابراین مهاجمان می‌توانند برای مدت طولانی‌تری در شبکه بمانند. همچنین ممکن است در این موارد مهاجمان تجربه کمتری داشته باشند و در نتیجه زمان بیشتری را صرف تشخیص اینکه در داخل شبکه چه کاری باید انجام دهند. شایر می‌گوید: کسب‌وکارهای کوچک نیز عموماً دید کمتری نسبت به توالی‌های حمله دارند و در نتیجه تشخیص و خنثی کردن نقض‌ها دشوارتر است، بنابراین حضور مجرمان سایبری طولانی‌تر می‌شود. با فرصت‌های ناشی از آسیب‌پذیری‌های حل‌نشده ProxyLogon و ProxyShell و گسترش Initial Access Brokers، ما به طور فزاینده‌ای در حال بررسی چندین مهاجم در یک قربانی هستیم. اگر مجرمان بیشتری در یک شبکه وجود داشته باشد، هر یک از آنها می خواهند در سریع ترین زمان ممکن عمل کنند تا به موقع در رقابت شکست بخورند.

در میان مرتبط ترین داده هایی که به دست آمد، باید به موارد زیر اشاره کرد:

میانگین مدت زمانی که مجرمان سایبری قبل از کشف می‌مانند برای نفوذهای مخفیانه که حملات آشکاری مانند باج‌افزار را راه‌اندازی نمی‌کنند و برای کسب‌وکارهای کوچک و بخش‌های تجاری کوچک‌تر که منابع امنیتی فناوری اطلاعات کمتری دارند، بیشتر است. میانگین ارزش زمان اقامت در شرکت های تحت تاثیر باج افزار است 11 روز گذشته که در در مورد نقض‌هایی که با حملات آشکاری مانند باج‌افزار (23 درصد از کل حوادث تجزیه‌وتحلیل‌شده) همراه نبودند، میانگین آن 34 روز بود. واقعیت های مربوط به بخش مدرسه یا داشتن کمتر از 500 کارمند زمان اقامت طولانی تری را نیز ثبت کردند.

زمان اقامت طولانی‌تر و نقاط دسترسی باز، شرکت‌ها را در معرض حملات متعدد قرار می‌دهد. شواهدی از مواردی وجود داشت که یک شرکت مورد حمله چندین دشمن مانند IAB قرار گرفت. باندهای متخصص در r آناسوم افزار، cryptominers و حتی گاهی اوقات اپراتورهایی که به چندین باج افزار مرتبط هستند.

با وجود کاهش استفاده از پروتکل دسکتاپ از راه دور (RDP) برای دسترسی خارجی، مهاجمان استفاده از آن را برای اهداف حرکت جانبی داخلی افزایش داده‌اند. در سال 2020، RDP برای فعالیت های خارجی در 32 درصد موارد مورد تجزیه و تحلیل استفاده شد. این رقم در سال 13 به 2021 درصد کاهش یافت. در حالی که از این تغییر استقبال می شود و مدیریت بهتر سطوح حمله خارجی توسط شرکت ها را پیشنهاد می کند، مجرمان سایبری به سوء استفاده از RDP برای حرکات جانبی داخلی خود ادامه می دهند. سوفوس دریافت که استفاده از RDP برای حرکات جانبی داخلی در 82 درصد موارد مورد تجزیه و تحلیل در سال 2021 رخ داده است. کنترل il ٪۱۰۰ از 2020

ترکیب متداول ابزارهایی که برای حمله استفاده می شود، یک علامت هشداردهنده از فعالیت ناخواسته است. به عنوان مثال، تجزیه و تحلیل حوادث امنیتی نشان داد که اسکریپت ها در سال 2021 مشاهده شده است اسکریپت های مخرب PowerShell و غیر PowerShell با هم در 64٪ مواقع; PowerShell و Cobalt Strike با هم در 56٪ از موارد؛ و PowerShell و PsExec با هم در 51٪ موارد. تشخیص چنین همبستگی هایی می تواند به عنوان یک هشدار اولیه در مورد یک حمله قریب الوقوع یا به عنوان تایید حمله در حال انجام باشد.

50 درصد از حوادث باج‌افزار مشاهده‌شده شامل استخراج داده‌ها بود - و با داده‌های موجود، میانگین فاصله بین سرقت داده‌ها و فعال‌سازی باج‌افزار 4,28 روز بود. 73 درصد از حوادثی که Sophos در سال 2021 در آن مداخله کرد، شامل موارد باج افزار بود. از این تعداد، 50٪ نیز شامل استخراج داده ها بود. Exfiltration اغلب آخرین مرحله حمله قبل از فعال شدن باج افزار است و تجزیه و تحلیل رویداد میانگین فاصله بین دو رویداد 4,28 روز با میانگین 1,84 روز را محاسبه می کند.

کنتی باند بود پرکارترین باج افزار در میان باج افزارهایی که در سال 2021 مشاهده شد، مسئول 18 درصد از حوادث کلی است. باج افزار رستاخیز از هر 1 حادثه 10 مورد را شامل می‌شود، در حالی که سایر خانواده‌های باج‌افزاری گسترده بودند دارک ساید، RaaS مقصر حمله به خط لوله استعماری در ایالات متحده آمریکا، e پادشاهی سیاه، یکی از خانواده های "جدید" باج افزار که در مارس 2021 در پی آسیب پذیری ProxyLogon ظاهر شد. 41 اپراتور مختلف باج افزار در 144 حادثه تحت پوشش تجزیه و تحلیل شناسایی شدند. از این تعداد، 28 گروه جدید هستند که برای اولین بار در سال 2021 ظهور کردند. هجده باند مسئول تصادفات در سال 2020 از فهرست 2021 ناپدید شدند.

Shier توضیح می‌دهد: «نشانه‌هایی که باید به مدیران امنیت فناوری اطلاعات هشدار دهد شامل شناسایی ابزار، ترکیبی از ابزارها یا فعالیت‌ها در نقطه‌ای غیرمنتظره از شبکه یا در یک لحظه غیرمنتظره است. شایان ذکر است که ممکن است زمان‌هایی با فعالیت کم یا بدون فعالیت وجود داشته باشد، اما این بدان معنا نیست که یک شرکت هک نشده است. به‌عنوان مثال، احتمالاً تعداد نقض‌های ProxyLogon یا ProxyShell بسیار بیشتر از آنچه در حال حاضر شناخته شده است وجود دارد، جایی که پوسته‌های وب و درهای پشتی برای دسترسی دائمی نصب شده‌اند و در حال حاضر تا زمانی که دسترسی استفاده نشود یا به دیگران فروخته شود غیرفعال می‌مانند. وصله‌ها باید برای رفع باگ‌های مهم، به‌ویژه در نرم‌افزارهای محبوب و به عنوان اولویت، تقویت امنیت سرویس‌های دسترسی از راه دور اعمال شوند. تا زمانی که نقاط ورودی در معرض بسته بسته نشوند و هر کاری که مهاجمان برای ایجاد و حفظ دسترسی انجام داده‌اند از بین نرود، هر کسی می‌تواند با آنها وارد شود و احتمالاً خواهد بود.»

مطالعه Sophos Active Adversary Playbook 2022 بر اساس 144 حادثه است که در سال 2021 در شرکت‌هایی با هر اندازه و بخش‌های تجاری واقع در کشورهای زیر رخ داده است: ایالات متحده آمریکا، کانادا، بریتانیا، آلمان، ایتالیا، اسپانیا، فرانسه، سوئیس، بلژیک، هلند، اتریش، امارات متحده عربی، عربستان سعودی، فیلیپین، باهاما، آنگولا و ژاپن.

بیشترین نمایندگی صنعت (17%)، خرده فروشی (14%)، مراقبت های بهداشتی (13%)، فناوری اطلاعات (9%)، ساخت و ساز (8%) و مدرسه (6%) است.

هدف گزارش Sophos این است که به مدیران امنیت سایبری کمک کند تا بفهمند دشمنان آنها در طول حملات چه می‌کنند و چگونه می‌توانند فعالیت‌های مخربی را که در شبکه در جریان است شناسایی و از خود محافظت کنند. برای اطلاعات بیشتر در مورد رفتارها، ابزارها و تکنیک های مجرمان سایبری، به Sophos Active Adversary Playbook 2022 در Sophos News مراجعه کنید.