सोफोस एक्टिव एडवरसरी प्लेबुक 2022 के शोध से पता चलता है कि साइबर अपराधियों के 'पीड़ितों में रहने का समय' नेटवर्क में 36% की वृद्धि हुई

Sophos, अगली पीढ़ी की साइबर सुरक्षा में एक वैश्विक नेता, आज प्रकाशित "सक्रिय विरोधी प्लेबुक 2022 ", वह रिपोर्ट जो 2021 के दौरान सोफोस रैपिड रिस्पांस टीम द्वारा क्षेत्र में देखे गए साइबर आपराधिक व्यवहारों का सारांश प्रस्तुत करती है।

शोध से जो आंकड़े सामने आए हैं, उससे संकेत मिलता है कि 36 में साइबर अपराधियों के प्रभावित सिस्टम में रहने के समय में 2021 प्रतिशत की वृद्धि 15 में 11 की तुलना में 2020 दिनों के औसत के साथ।

रिपोर्ट में माइक्रोसॉफ्ट एक्सचेंज के भीतर प्रॉक्सीशेल कमजोरियों के प्रभाव पर भी प्रकाश डाला गया है, जो सोफोस का मानना ​​​​है कि कुछ इनिशियल एक्सेस ब्रोकर्स (आईएबी) द्वारा नेटवर्क का उल्लंघन करने और फिर दूसरों तक उनकी पहुंच को फिर से बेचने के लिए शोषण किया जाता है।

"साइबर अपराध की दुनिया अविश्वसनीय रूप से विविध और विशिष्ट हो गई है।  इनिशियल एक्सेस ब्रोकर (जो साइबर क्राइम उद्योग को कॉर्पोरेट आईटी सिस्टम तक पहुंच प्रदान करते हैं) ने एक वास्तविक उद्योग विकसित किया है जो एक लक्ष्य को हैक करता है, अपने आईटी वातावरण की खोज करता है या एक पिछले दरवाजे को स्थापित करता है, और फिर इससे निपटने वाले गिरोहों तक पहुंच को फिर से बेचता है। Ransomware सोफोस के वरिष्ठ सुरक्षा सलाहकार जॉन शियर बताते हैं। "इस तेजी से गतिशील और विशिष्ट परिदृश्य में, कंपनियों के लिए साइबर अपराधियों द्वारा उपयोग किए जाने वाले उपकरणों और दृष्टिकोणों के विकास के साथ तालमेल रखना मुश्किल हो सकता है। यह आवश्यक है कि डिफेंडर जानता है कि हमले के अनुक्रम के प्रत्येक चरण में क्या देखना है, ताकि वे जितनी जल्दी हो सके उल्लंघन के प्रयासों का पता लगा सकें और बेअसर कर सकें। ”

सोफोस अनुसंधान से यह भी पता चलता है कि घुसपैठियों के निवास का समय कॉर्पोरेट आईटी वातावरण में सबसे अधिक है छोटा: 51 से 250 कर्मचारियों वाले लोगों में 20 दिनों के मुकाबले 3.000 कर्मचारियों के साथ वास्तव में लगभग 5.000 दिन।

"साइबर अपराधी बड़ी कंपनियों को अधिक महत्व देते हैं, इसलिए वे अंदर जाने के लिए अधिक प्रेरित होते हैं, जो उन्हें करना है, और फिर बाहर निकल जाते हैं। छोटी कंपनियों का कथित 'मूल्य' कम होता है, इसलिए हमलावर अधिक समय तक नेटवर्क के अंदर रहने का जोखिम उठा सकते हैं। यह भी संभव है कि इन मामलों में हमलावर कम अनुभवी हों और इसलिए नेटवर्क के अंदर एक बार क्या करना है, यह पता लगाने में अधिक समय लगता है। छोटे व्यवसायों में भी आम तौर पर हमले के दृश्यों में कम दृश्यता होती है और इसके परिणामस्वरूप उल्लंघनों का पता लगाने और उन्हें बेअसर करने में कठिन समय होता है, इस प्रकार साइबर अपराधियों की उपस्थिति को लम्बा खींचती है, "शियर टिप्पणी करता है। "अनसुलझे ProxyLogon और ProxyShell कमजोरियों और इनिशियल एक्सेस ब्रोकर्स के प्रसार से उत्पन्न होने वाले अवसरों के साथ, हम एक ही शिकार के भीतर कई हमलावरों की तेजी से जाँच कर रहे हैं। यदि एक नेटवर्क में अधिक अपराधी हैं, तो उनमें से प्रत्येक प्रतियोगिता को समय पर हराने के लिए जितनी जल्दी हो सके कार्य करना चाहेगा ”।

 सबसे अधिक प्रासंगिक डेटा जो सामने आए, उनमें निम्नलिखित पर ध्यान दिया जाना चाहिए:

• खोजे जाने से पहले साइबर अपराधियों के रहने की औसत अवधि चुपके घुसपैठ के लिए अधिक होती है जो रैंसमवेयर जैसे खुले हमलों को ट्रिगर नहीं करती है, और छोटे व्यवसायों और छोटे व्यावसायिक क्षेत्रों के लिए जिनके पास कम आईटी सुरक्षा संसाधन हैं। रैंसमवेयर से प्रभावित कंपनियों में निवास समय का औसत मूल्य है 11 दिन हो गए। में उल्लंघनों का मामला जिसके बाद रैंसमवेयर (विश्लेषण की गई सभी घटनाओं का 23%) जैसे स्पष्ट हमलों का पालन नहीं किया गया था, औसत 34 दिन था। स्कूल क्षेत्र से संबंधित वास्तविकताओं या 500 से कम कर्मचारियों वाले निवास समय से भी अधिक समय तक दर्ज किए गए हैं।

• लंबे समय तक रहने का समय और खुले पहुंच बिंदु कंपनियों को कई हमलों के संपर्क में छोड़ देते हैं। ऐसे मामलों के सबूत थे जहां एक ही कंपनी IAB जैसे कई विरोधियों के हमलों के अधीन थी, r . में विशेषज्ञता वाले गिरोहansomware, क्रिप्टोमाइनर्स और कभी-कभी यहां तक ​​कि कई रैंसमवेयर से जुड़े ऑपरेटर भी।

• बाहरी पहुंच के लिए रिमोट डेस्कटॉप प्रोटोकॉल (आरडीपी) के उपयोग में कमी के बावजूद, हमलावरों ने आंतरिक पार्श्व संचलन उद्देश्यों के लिए इसके उपयोग में वृद्धि की है। 2020 में, विश्लेषण किए गए 32% मामलों में बाहरी गतिविधियों के लिए RDP का उपयोग किया गया था, 13 में यह आंकड़ा गिरकर 2021% हुआ. हालांकि यह परिवर्तन स्वागत योग्य है और कंपनियों द्वारा बाहरी हमले की सतहों के बेहतर प्रबंधन का सुझाव देता है, साइबर अपराधी अपने आंतरिक पार्श्व आंदोलनों के लिए आरडीपी का दुरुपयोग करना जारी रखते हैं। सोफोस ने पाया कि 82 में विश्लेषण किए गए 2021% मामलों में आंतरिक पार्श्व आंदोलनों के लिए आरडीपी का उपयोग हुआ के खिलाफ 69% तक  डेल 2020

• हमला करने के लिए उपयोग किए जाने वाले उपकरणों के सामान्य संयोजन अवांछित गतिविधि का चेतावनी संकेत हैं। उदाहरण के लिए, सुरक्षा घटना विश्लेषण में पाया गया कि स्क्रिप्ट 2021 में देखी गई थीं पावरशेल और गैर-पावरशेल दुर्भावनापूर्ण स्क्रिप्ट एक साथ 64% समय; पॉवरशेल और कोबाल्ट स्ट्राइक 56% में एक साथ मामलों की; और 51% मामलों में PowerShell और PsExec एक साथ. इस तरह के सहसंबंधों का पता लगाना आसन्न हमले की प्रारंभिक चेतावनी या प्रगति पर हमले की पुष्टि के रूप में काम कर सकता है।

• देखी गई रैंसमवेयर घटनाओं में से 50% में डेटा एक्सफ़िल्टरेशन शामिल था - और उपलब्ध डेटा के साथ, डेटा चोरी और रैंसमवेयर सक्रियण के बीच औसत अंतराल 4,28 दिन था। 73% घटनाएं जिनमें सोफोस ने 2021 में हस्तक्षेप किया, उनमें रैंसमवेयर के मामले शामिल थे। इनमें से 50% में डेटा एक्सफ़िल्टरेशन भी शामिल था। रैंसमवेयर के सक्रिय होने से पहले एक्सफ़िल्टरेशन अक्सर हमले का अंतिम चरण होता है, और घटना विश्लेषणों ने 4,28 दिनों के औसत के साथ 1,84 दिनों की दो घटनाओं के बीच एक औसत अंतराल की गणना की।

• कोंटी यह गिरोह था 2021 में देखे गए लोगों में सबसे विपुल रैंसमवेयर, कुल घटनाओं के 18% के लिए जिम्मेदार है। रैंसमवेयर रेविल 1 में से 10 घटना शामिल है, जबकि अन्य व्यापक रैंसमवेयर परिवार थे Darkside, संयुक्त राज्य अमेरिका में औपनिवेशिक पाइपलाइन पर हमले के दोषी रास, e ब्लैक किंगडोम, रैंसमवेयर के "नए" परिवारों में से एक, जो मार्च 2021 में ProxyLogon भेद्यता के मद्देनजर दिखाई दिया। विश्लेषण में शामिल 41 घटनाओं में 144 विभिन्न रैंसमवेयर ऑपरेटरों की पहचान की गई; इनमें से 28 नए समूह हैं जो पहली बार 2021 में सामने आए। 2020 में दुर्घटनाओं के लिए जिम्मेदार अठारह गिरोह 2021 की सूची से गायब हो गए

शियर बताते हैं, "आईटी सुरक्षा प्रबंधकों को सतर्क करने वाले संकेतों में एक उपकरण का पता लगाना, उपकरण या गतिविधियों का संयोजन नेटवर्क पर एक अप्रत्याशित बिंदु पर या एक अप्रत्याशित क्षण में शामिल है।" "यह याद रखने योग्य है कि बहुत कम या कोई गतिविधि नहीं हो सकती है, लेकिन इसका मतलब यह नहीं है कि किसी कंपनी को हैक नहीं किया गया है। उदाहरण के लिए, वर्तमान में ज्ञात की तुलना में कई अधिक ProxyLogon या ProxyShell उल्लंघन होने की संभावना है, जहां वेब शेल और पिछले दरवाजे लगातार पहुंच प्राप्त करने के लिए स्थापित किए गए हैं और जो वर्तमान में तब तक निष्क्रिय रहते हैं जब तक कि एक्सेस का उपयोग या दूसरों को फिर से नहीं किया जाता है। । विशेष रूप से लोकप्रिय सॉफ़्टवेयर में महत्वपूर्ण बगों को ठीक करने के लिए पैच लागू करने की आवश्यकता है, और प्राथमिकता के रूप में, रिमोट एक्सेस सेवाओं की सुरक्षा को मजबूत करना। जब तक उजागर प्रवेश बिंदु बंद नहीं हो जाते और हमलावरों ने पहुंच स्थापित करने और बनाए रखने के लिए जो कुछ भी किया है, उसे मिटा दिया जाता है, कोई भी उनके साथ प्रवेश कर सकेगा, और शायद "।

सोफोस एक्टिव एडवरसरी प्लेबुक 2022 अध्ययन 144 घटनाओं पर आधारित है जो 2021 में निम्नलिखित देशों में स्थित सभी आकार और व्यावसायिक क्षेत्रों की कंपनियों में हुई: यूएसए, कनाडा, यूके, जर्मनी, इटली, स्पेन, फ्रांस, स्विट्जरलैंड, बेल्जियम, नीदरलैंड, ऑस्ट्रिया, संयुक्त अरब अमीरात, सऊदी अरब, फिलीपींस, बहामास, अंगोला और जापान।

सबसे अधिक प्रतिनिधित्व वाले क्षेत्र उद्योग (17%), खुदरा (14%), स्वास्थ्य सेवा (13%), आईटी (9%), निर्माण (8%) और स्कूल (6%) हैं।

सोफोस रिपोर्ट का लक्ष्य साइबर सुरक्षा प्रबंधकों को यह समझने में मदद करना है कि उनके विरोधी हमलों के दौरान क्या कर रहे हैं और नेटवर्क पर प्रसारित होने वाली दुर्भावनापूर्ण गतिविधि से खुद को कैसे पहचानें और कैसे बचाएं। साइबर अपराधियों के व्यवहार, उपकरण और तकनीकों के बारे में अधिक जानकारी के लिए, सोफोस न्यूज पर सोफोस एक्टिव एडवरसरी प्लेबुक 2022 देखें।