Les recherches du Sophos Active Adversary Playbook 2022 révèlent que le temps de résidence des cybercriminels dans les réseaux de leurs victimes a augmenté de 36 %

Sophos, un leader mondial de la cybersécurité de nouvelle génération, a publié aujourd'hui "Livre de jeu de l'adversaire actif 2022 ", le rapport qui résume les comportements cybercriminels observés sur le terrain par l'équipe Sophos Rapid Response au cours de l'année 2021.

Les données qui ont émergé de la recherche indiquent une Augmentation de 36 % de la durée pendant laquelle les cybercriminels restent dans les systèmes concernés en 2021 avec une médiane de 15 jours contre 11 en 2020.

Le rapport met également en évidence l'impact des vulnérabilités ProxyShell au sein de Microsoft Exchange, qui, selon Sophos, sont exploitées par certains courtiers d'accès initial (IAB) pour violer les réseaux, puis revendre leur accès à d'autres.

« Le monde de la cybercriminalité est devenu incroyablement diversifié et spécialisé. La Courtier d'accès initial (qui fournissent à l'industrie de la cybercriminalité un accès aux systèmes informatiques des entreprises) ont développé une véritable industrie qui pirate une cible, explore son environnement informatique ou installe une porte dérobée, puis revend l'accès aux gangs qui s'en occupent. ransomware explique John Shier, conseiller sécurité senior Sophos. « Dans ce scénario de plus en plus dynamique et spécialisé, il peut être difficile pour les entreprises de suivre le rythme de l'évolution des outils et des approches utilisés par les cybercriminels. Il est essentiel que le défenseur sache ce qu'il faut rechercher à chaque étape de la séquence d'attaque, afin qu'il puisse détecter et neutraliser au plus vite les tentatives de brèche ».

Les recherches de Sophos montrent également que le temps de séjour des intrus est plus long dans les environnements informatiques d'entreprise que la plupart petit : environ 51 jours dans la réalité jusqu'à 250 salariés contre 20 jours dans ceux de 3.000 5.000 à XNUMX XNUMX salariés.

"Les cybercriminels accordent plus de valeur aux grandes entreprises, ils sont donc plus motivés pour entrer, faire ce qu'ils ont à faire, puis sortir. Les petites entreprises ont une « valeur » perçue plus faible, de sorte que les attaquants peuvent se permettre de rester à l'intérieur du réseau pendant de plus longues périodes. Il est également possible que dans ces cas, les attaquants soient moins expérimentés et prennent donc plus de temps pour comprendre quoi faire une fois à l'intérieur du réseau. Les petites entreprises ont également généralement moins de visibilité sur les séquences d'attaques et ont par conséquent plus de mal à détecter et à neutraliser les failles, prolongeant ainsi la présence des cybercriminels », commente Shier. "Avec les opportunités découlant des vulnérabilités non résolues ProxyLogon et ProxyShell et la propagation des courtiers d'accès initiaux, nous recherchons de plus en plus plusieurs attaquants au sein de la même victime. S'il y a plus de criminels dans un réseau, chacun d'eux voudra agir le plus vite possible pour battre la concurrence à temps ».

 Parmi les données les plus pertinentes qui ressortent, il convient de noter les suivantes :

• La durée médiane pendant laquelle les cybercriminels restent avant d'être découverts est plus longue pour les intrusions furtives qui ne déclenchent pas d'attaques manifestes comme les ransomwares, et pour les petites entreprises et les segments d'activité plus petits qui disposent de moins de ressources de sécurité informatique. La valeur médiane du temps de séjour dans les entreprises affectées par les ransomwares est ça fait 11 jours. Dans En cas de violations non suivies d'attaques évidentes telles que les ransomwares (23 % de tous les incidents analysés), la médiane était de 34 jours. Les réalités appartenant au secteur scolaire ou ayant moins de 500 salariés enregistrent des temps de résidence encore plus longs.

• Des temps d'attente plus longs et des points d'accès ouverts exposent les entreprises à de multiples attaques. Il existe des preuves de cas où la même entreprise a fait l'objet d'attaques de la part de plusieurs adversaires tels que IAB, gangs spécialisés dans rAnsomware, des cryptomineurs et parfois même des opérateurs liés à plusieurs rançongiciels.

• Malgré une diminution de l'utilisation du protocole RDP (Remote Desktop Protocol) pour l'accès externe, les attaquants ont augmenté son utilisation à des fins de déplacement latéral interne. En 2020, le RDP a été utilisé pour des activités externes dans 32% des cas analysés, chiffre tombé à 13% en 2021. Bien que ce changement soit bienvenu et suggère une meilleure gestion des surfaces d'attaque externes par les entreprises, les cybercriminels continuent d'abuser de RDP pour leurs mouvements latéraux internes. Sophos a constaté que l'utilisation de RDP pour les mouvements latéraux internes s'est produite dans 82 % des cas analysés en 2021 contre 69% de la 2020

• Les combinaisons courantes d'outils utilisés pour attaquer sont un signe avant-coureur d'une activité indésirable. Par exemple, les analyses d'incidents de sécurité ont révélé que des scripts avaient été observés en 2021 Scripts malveillants PowerShell et non PowerShell ensemble 64 % du temps; PowerShell et Cobalt Strike ensemble dans 56% des cas ; Et PowerShell et PsExec ensemble dans 51% des cas. La détection de telles corrélations peut servir d'avertissement précoce d'une attaque imminente ou de confirmation d'une attaque en cours.

• 50 % des incidents de ransomware observés impliquaient une exfiltration de données - et avec les données disponibles, l'intervalle moyen entre le vol de données et l'activation du ransomware était de 4,28 jours. 73 % des incidents dans lesquels Sophos est intervenu en 2021 concernaient des cas de ransomwares. Parmi celles-ci, 50 % impliquaient également une exfiltration de données. L'exfiltration est souvent la dernière étape d'une attaque avant l'activation du ransomware, et les analyses d'incidents ont calculé un intervalle moyen entre les deux événements de 4,28 jours avec une médiane de 1,84 jours.

• Conti c'était la bande les ransomwares les plus prolifiques parmi ceux observés en 2021, responsables de 18 % des incidents globaux. Le rançongiciel le mal impliqué 1 incident sur 10, tandis que d'autres familles de ransomwares répandues étaient Côté obscur, le RaaS coupable de l'attaque du Colonial Pipeline aux USA, e Royaume noir, l'une des "nouvelles" familles de rançongiciels apparues en mars 2021 à la suite de la vulnérabilité ProxyLogon. 41 opérateurs de rançongiciels différents ont été identifiés dans les 144 incidents couverts par l'analyse ; parmi ceux-ci, 28 sont de nouveaux groupes apparus pour la première fois en 2021. Dix-huit gangs responsables d'accidents en 2020 ont disparu de la liste 2021

"Les signes qui doivent alerter les responsables de la sécurité informatique incluent la détection d'un outil, d'une combinaison d'outils ou d'activités à un point inattendu du réseau ou à un moment inattendu", explique Shier. « Il convient de se rappeler qu'il peut y avoir des moments où l'activité est faible ou inexistante, mais cela ne signifie pas qu'une entreprise n'a pas été piratée. Il y a probablement, par exemple, beaucoup plus de violations ProxyLogon ou ProxyShell que celles connues actuellement, où des shells Web et des portes dérobées ont été installés pour obtenir un accès persistant et qui restent actuellement inactifs jusqu'à ce que l'accès soit utilisé ou revendu à d'autres. . Des correctifs doivent être appliqués pour corriger les bogues critiques, en particulier dans les logiciels populaires et, en priorité, renforcer la sécurité des services d'accès à distance. Jusqu'à ce que les points d'entrée exposés soient fermés et que tout ce que les attaquants ont fait pour établir et maintenir l'accès soit éradiqué, n'importe qui pourra entrer avec eux, et le fera probablement ».

L'étude Sophos Active Adversary Playbook 2022 est basée sur 144 incidents survenus en 2021 dans des entreprises de toutes tailles et de tous secteurs d'activité situées dans les pays suivants : États-Unis, Canada, Royaume-Uni, Allemagne, Italie, Espagne, France, Suisse, Belgique, Pays-Bas, Autriche, Émirats arabes unis, Arabie saoudite, Philippines, Bahamas, Angola et Japon.

Les secteurs les plus représentés sont l'industrie (17%), le commerce (14%), la santé (13%), l'informatique (9%), la construction (8%) et l'école (6%).

L'objectif du rapport Sophos est d'aider les responsables de la cybersécurité à comprendre ce que font leurs adversaires lors d'attaques et comment détecter et se protéger des activités malveillantes circulant sur le réseau. Pour plus d'informations sur les comportements, les outils et les techniques des cybercriminels, consultez le Sophos Active Adversary Playbook 2022 sur Sophos News.