Riset Sophos Active Adversary Playbook 2022 nyritakake 'wektu panggonan para penjahat cyber ing jaringan korban' tambah 36%

Sophos, pimpinan global babagan keamanan siber generasi sabanjure, saiki nerbitake "Playbook Musuh Aktif 2022 ", il report che riassume i comportamenti cybercriminali osservati sul campo dal team Rapid Response di Sophos nel corso del 2021.

Dhata kang dijupuk saka panliten nuduhake a Tambah 36% ing wektu cybercriminals tetep ana ing sistem sing kena pengaruh ing 2021 kanthi rata-rata 15 dina dibandhingake karo 11 ing 2020.

Laporan kasebut uga nyoroti pengaruh kerentanan ProxyShell ing Microsoft Exchange, sing dipercaya Sophos dieksploitasi dening sawetara Broker Akses Awal (IAB) kanggo nglanggar jaringan banjur adol maneh akses menyang wong liya.

"Donya cybercrime wis dadi macem-macem lan khusus. Ing Broker Akses Awal (sing nyedhiyakake industri cybercrime akses menyang sistem IT perusahaan) wis ngembangake industri nyata sing hack menyang target, njelajah lingkungan IT utawa nginstal backdoor, lan banjur adol maneh akses menyang geng sing ngatasi. ransomware nerangake John Shier, penasehat keamanan senior Sophos. "Ing skenario sing saya dinamis lan khusus iki, bisa uga angel kanggo perusahaan supaya bisa terus maju karo evolusi alat lan pendekatan sing digunakake dening para penjahat cyber. Penting manawa bek ngerti apa sing kudu digoleki ing saben tahapan urutan serangan, supaya bisa ndeteksi lan netralake upaya pelanggaran kanthi cepet ".

Riset Sophos uga nuduhake manawa wektu manggon para penyusup luwih suwe ing lingkungan IT perusahaan tinimbang umume cilik: bab 51 dina ing kasunyatan karo munggah 250 karyawan marang 20 dina sing karo 3.000 kanggo 5.000 karyawan.

"Penjahat cyber menehi nilai luwih gedhe ing perusahaan sing luwih gedhe, mula dheweke luwih motivasi kanggo mlebu, nindakake apa sing kudu ditindakake, banjur metu. Perusahaan sing luwih cilik duwe 'nilai' sing luwih murah, mula para panyerang bisa tetep ana ing jaringan sajrone wektu sing luwih suwe. Sampeyan uga bisa uga yen ing kasus iki, panyerang kurang pengalaman lan mulane njupuk wektu luwih akeh kanggo nemtokake apa sing kudu ditindakake nalika ana ing jaringan. Usaha cilik uga umume kurang visibilitas menyang urutan serangan lan mulane duwe wektu sing luwih angel kanggo ndeteksi lan netralake pelanggaran, saéngga bisa ndawakake penjahat cyber, "komentar Shier. "Kanthi kesempatan sing muncul saka kerentanan ProxyLogon lan ProxyShell sing ora ditanggulangi lan panyebaran Broker Akses Awal, kita tambah akeh mriksa sawetara panyerang ing korban sing padha. Yen ana luwih akeh penjahat ing jaringan, saben wong bakal tumindak kanthi cepet supaya bisa ngalahake kompetisi kanthi tepat ”.

 Antarane data sing paling relevan sing muncul, ing ngisor iki kudu dicathet:

• Rata-rata wektu cybercriminals tetep sadurunge ditemokake luwih gedhe kanggo gangguan siluman sing ora nyebabake serangan terang-terangan kaya ransomware, lan kanggo bisnis cilik lan segmen bisnis cilik sing duwe sumber daya keamanan IT luwih sithik. Nilai rata-rata wektu manggon ing perusahaan sing kena pengaruh ransomware yaiku wis 11 dina. Ing kasus pelanggaran sing ora diterusake kanthi serangan sing jelas kayata ransomware (23% saka kabeh kedadeyan sing dianalisis), rata-rata yaiku 34 dina. Kasunyatan sing ana ing sektor sekolah utawa kurang saka 500 karyawan sing nyathet wektu manggon luwih suwe.

• Wektu manggon sing luwih suwe lan titik akses mbukak nggawe perusahaan kena serangan pirang-pirang. Ana bukti kasus ing ngendi perusahaan sing padha kena serangan saka pirang-pirang mungsuh kayata IAB, geng spesialisasine ing ransomware, cryptominers lan sok-sok malah operator disambung menyang macem-macem ransomware.

• Sanajan nyuda panggunaan Remote Desktop Protocol (RDP) kanggo akses eksternal, panyerang nambah panggunaan kanggo tujuan gerakan lateral internal. Ing 2020, RDP digunakake kanggo aktivitas eksternal ing 32% kasus sing dianalisis, angka mudhun dadi 13% ing 2021. Nalika owah-owahan iki ditampa lan nyaranake manajemen permukaan serangan eksternal sing luwih apik dening perusahaan, para penjahat cyber terus nyalahake RDP kanggo gerakan lateral internal. Sophos nemokake manawa panggunaan RDP kanggo gerakan lateral internal kedadeyan ing 82% kasus sing dianalisis ing taun 2021. marang ing 69% Del 2020

• Kombinasi alat sing umum digunakake kanggo nyerang minangka tandha peringatan babagan kegiatan sing ora dikarepake. Contone, analisa kedadeyan keamanan nemokake manawa skrip diamati ing taun 2021 Skrip jahat PowerShell lan non-PowerShell bebarengan 64% wektu; PowerShell lan Cobalt Strike bebarengan ing 56% saka kasus; lan PowerShell lan PsExec bebarengan ing 51% kasus. Deteksi korélasi kasebut bisa dadi peringatan awal saka serangan sing bakal teka utawa minangka konfirmasi serangan sing lagi ditindakake.

• 50% saka kedadeyan ransomware sing diamati melu exfiltration data - lan kanthi data kasedhiya, interval rata-rata antarane nyolong data lan aktivasi ransomware yaiku 4,28 dina. 73% saka kedadeyan sing Sophos campur tangan ing taun 2021 kalebu kasus ransomware. Saka jumlah kasebut, 50% uga melu exfiltration data. Exfiltrasi asring minangka tahap pungkasan saka serangan sadurunge ransomware diaktifake, lan analisa kedadeyan ngitung interval rata-rata antarane rong acara 4,28 dina kanthi rata-rata 1,84 dina.

• Conti iku geng ransomware paling produktif ing antarane sing diamati ing 2021, tanggung jawab kanggo 18% saka kedadean sakabèhé. Piranti tebusan Mbuktekake melu 1 saka 10 kedadean, nalika kulawarga ransomware nyebar liyane Sisih Gelap, RaaS guilty saka serangan ing Colonial Pipeline ing AS, e Black King Dom, salah sawijining kulawarga ransomware "anyar" sing muncul ing Maret 2021 amarga kerentanan ProxyLogon. 41 operator ransomware beda-beda diidentifikasi ing 144 kedadeyan sing dilindhungi dening analisis; saka iki, 28 minangka klompok anyar sing pisanan muncul ing 2021. Wolulas geng sing tanggung jawab kanggo kacilakan ing 2020 ilang saka dhaptar 2021.

"Tandha-tandha sing kudu menehi tandha marang manajer keamanan IT kalebu deteksi alat, kombinasi alat utawa aktivitas ing titik sing ora dikarepke ing jaringan utawa ing wayahe sing ora dikarepake," ujare Shier. "Sampeyan kudu eling yen ana wektu sing sithik utawa ora ana kegiatan, nanging iki ora ateges perusahaan durung diretas. Ana kamungkinan, contone, luwih akeh pelanggaran ProxyLogon utawa ProxyShell tinimbang sing saiki dikenal, ing ngendi cangkang web lan lawang mburi wis diinstal kanggo entuk akses terus-terusan lan sing saiki tetep ora aktif nganti akses kasebut digunakake utawa didol maneh menyang wong liya. . Patch kudu ditrapake kanggo ndandani bug kritis, utamane ing piranti lunak populer lan, minangka prioritas, nguatake keamanan layanan akses remot. Nganti titik entri sing dibukak ditutup lan kabeh sing ditindakake para panyerang kanggo netepake lan njaga akses dibuwang, sapa wae bakal bisa mlebu, lan bisa uga ”.

Sinau Sophos Active Adversary Playbook 2022 adhedhasar 144 insiden sing kedadeyan ing 2021 ing perusahaan kabeh ukuran lan sektor bisnis sing ana ing negara ing ngisor iki: AS, Kanada, Inggris, Jerman, Italia, Spanyol, Prancis, Swiss, Belgia, Walanda , Austria, Uni Emirat Arab, Arab Saudi, Filipina, Bahama, Angola lan Jepang.

Sektor sing paling diwakili yaiku industri (17%), ritel (14%), kesehatan (13%), IT (9%), konstruksi (8%) lan sekolah (6%).

Tujuan saka laporan Sophos yaiku kanggo mbantu manajer keamanan siber ngerti apa sing ditindakake para mungsuh sajrone serangan lan cara ndeteksi lan nglindhungi awake dhewe saka kegiatan jahat sing nyebar ing jaringan. Kanggo informasi luwih lengkap babagan prilaku, alat lan teknik para penjahat siber, deleng Sophos Active Adversary Playbook 2022 ing Sophos News.