Sophos Active Adversary Playbook 2022-ის კვლევამ აჩვენა, რომ კიბერკრიმინალების „ცხოვრების დრო მსხვერპლთა“ ქსელებში 36%-ით გაიზარდა.

Sophosახალი თაობის კიბერუსაფრთხოების გლობალური ლიდერი, დღეს გამოქვეყნდა "Active Adversary Playbook 2022 ", მოხსენება, რომელიც აჯამებს სოფოს სწრაფი რეაგირების ჯგუფის მიერ 2021 წლის განმავლობაში სფეროში დაფიქსირებულ კიბერდანაშაულებრივ ქცევებს.

კვლევის შედეგად მოპოვებული მონაცემები მიუთითებს ა 36%-იანი ზრდა იმ დროში, როდესაც კიბერკრიმინალები რჩებიან დაზარალებულ სისტემებში 2021 წელს საშუალოდ 15 დღე 11 წლის 2020-თან შედარებით.

ანგარიში ასევე ხაზს უსვამს Microsoft Exchange-ში ProxyShell-ის დაუცველობის გავლენას, რომელსაც Sophos-ის აზრით, იყენებს ზოგიერთი საწყისი წვდომის ბროკერი (IAB) ქსელების დარღვევისთვის და შემდეგ მათი ხელმისაწვდომობის სხვებისთვის გადაყიდვის მიზნით.

„კიბერდანაშაულის სამყარო წარმოუდგენლად მრავალფეროვანი და სპეციალიზირებული გახდა. The საწყისი წვდომის ბროკერი (რომლებიც უზრუნველყოფენ კიბერდანაშაულის ინდუსტრიას წვდომას კორპორატიულ IT სისტემებზე) შექმნეს რეალური ინდუსტრია, რომელიც არღვევს მიზანს, იკვლევს მის IT გარემოს ან აყენებს უკანა კარს და შემდეგ ყიდის წვდომას იმ ბანდებთან, რომლებიც მასთან არიან. ransomware განმარტავს ჯონ შიერი, Sophos უსაფრთხოების უფროსი მრჩეველი. „ამ სულ უფრო დინამიურ და სპეციალიზებულ სცენარში, კომპანიებს შეიძლება გაუჭირდეს ტემპის შენარჩუნება იმ ინსტრუმენტებისა და მიდგომების ევოლუციასთან, რომლებსაც იყენებენ კიბერკრიმინალები. მნიშვნელოვანია, რომ დამცველმა იცოდეს რა უნდა მოძებნოს თავდასხმის თანმიმდევრობის თითოეულ ეტაპზე, რათა მათ შეძლონ დარღვევის მცდელობები რაც შეიძლება სწრაფად აღმოაჩინონ და გაანეიტრალონ. ”

Sophos-ის კვლევამ ასევე აჩვენა, რომ თავდამსხმელების ბინადრობის დრო უფრო გრძელია კორპორატიულ IT გარემოში, ვიდრე უმეტესობა მცირე: რეალურად დაახლოებით 51 დღე 250-მდე თანამშრომლით 20 დღის წინააღმდეგ 3.000-დან 5.000-მდე თანამშრომელში.

„კიბერკრიმინალები უფრო დიდ მნიშვნელობას ანიჭებენ დიდ კომპანიებს, ამიტომ ისინი უფრო მოტივირებულნი არიან შევიდნენ, გააკეთონ ის, რაც უნდა გააკეთონ და შემდეგ გავიდნენ. მცირე კომპანიებს აქვთ უფრო დაბალი აღქმული "ღირებულება", ამიტომ თავდამსხმელებს შეუძლიათ დარჩნენ ქსელში უფრო დიდი ხნის განმავლობაში. ასევე შესაძლებელია, რომ ამ შემთხვევებში თავდამსხმელები ნაკლებად გამოცდილები არიან და ამიტომ მეტი დრო სჭირდებათ იმის გასარკვევად, თუ რა უნდა გააკეთონ ერთხელ ქსელში. მცირე ბიზნესებს ასევე აქვთ ნაკლები ხილვადობა თავდასხმების თანმიმდევრობაში და, შესაბამისად, უჭირთ დარღვევების აღმოჩენა და განეიტრალება, რითაც ახანგრძლივებს კიბერკრიმინალების არსებობას, ”- წერს შიერი. „გადაუჭრელი ProxyLogon-ისა და ProxyShell-ის დაუცველობისა და საწყისი წვდომის ბროკერების გავრცელების შესაძლებლობით, ჩვენ სულ უფრო ხშირად ვამოწმებთ რამდენიმე თავდამსხმელს იმავე მსხვერპლში. თუ ქსელში მეტი კრიმინალია, თითოეულ მათგანს სურს რაც შეიძლება სწრაფად იმოქმედოს, რათა დროულად დაამარცხოს კონკურენცია. ”

 ყველაზე რელევანტურ მონაცემებს შორის, რომელიც გაჩნდა, უნდა აღინიშნოს შემდეგი:

• კიბერკრიმინალების აღმოჩენამდე დარჩენის დროის საშუალო ხანგრძლივობა უფრო დიდია ფარული შეღწევებისთვის, რომლებიც არ იწვევს აშკარა შეტევებს, როგორიცაა გამოსასყიდი პროგრამა, და მცირე ბიზნესისთვის და მცირე ბიზნესის სეგმენტებისთვის, რომლებსაც აქვთ ნაკლები IT უსაფრთხოების რესურსები. გამოსასყიდის ზემოქმედების ქვეშ მყოფ კომპანიებში ბინადრობის დროის საშუალო მნიშვნელობა არის გავიდა 11 დღე. In დარღვევების შემთხვევა, რომელსაც არ მოჰყვა აშკარა შეტევები, როგორიცაა გამოსასყიდი პროგრამა (გაანალიზებული ყველა ინციდენტის 23%), საშუალო იყო 34 დღე. რეალობა, რომელიც ეკუთვნის სასკოლო სექტორს ან ჰყავს 500-ზე ნაკლები თანამშრომელი, დაფიქსირდა კიდევ უფრო ხანგრძლივი ცხოვრების დრო.

• ყოფნის უფრო ხანგრძლივი დრო და ღია წვდომის წერტილები კომპანიებს მრავალჯერადი თავდასხმის ქვეშ აყენებს. დაფიქსირდა შემთხვევები, როდესაც ერთი და იგივე კომპანია ექვემდებარებოდა თავდასხმებს მრავალი მოწინააღმდეგის მხრიდან, როგორიცაა IAB, ბანდები სპეციალიზირებული რansomware, კრიპტომაინერები და ზოგჯერ ოპერატორებიც კი, რომლებიც დაკავშირებულია მრავალ გამოსასყიდ პროგრამასთან.

• გარე წვდომისთვის დისტანციური დესკტოპის პროტოკოლის (RDP) გამოყენების შემცირების მიუხედავად, თავდამსხმელებმა გაზარდეს მისი გამოყენება შიდა გვერდითი მოძრაობის მიზნებისთვის. 2020 წელს RDP გამოყენებული იქნა გარე საქმიანობისთვის გაანალიზებული შემთხვევების 32%-ში, ეს მაჩვენებელი 13 წელს 2021%-მდე დაეცა. მიუხედავად იმისა, რომ ეს ცვლილება მისასალმებელია და გვთავაზობს კომპანიების მიერ გარე თავდასხმის ზედაპირების უკეთ მართვას, კიბერკრიმინალები აგრძელებენ RDP-ის ბოროტად გამოყენებას შიდა გვერდითი მოძრაობებისთვის. სოფოსმა აღმოაჩინა, რომ RDP-ის გამოყენება შიდა გვერდითი მოძრაობებისთვის მოხდა 82 წელს გაანალიზებული შემთხვევების 2021%-ში. წინააღმდეგ 69% del 2020

• თავდასხმისთვის გამოყენებული ხელსაწყოების საერთო კომბინაციები არასასურველი აქტივობის გამაფრთხილებელი ნიშანია. მაგალითად, უსაფრთხოების ინციდენტების ანალიზმა დაადგინა, რომ სკრიპტები დაფიქსირდა 2021 წელს PowerShell და არა PowerShell მავნე სკრიპტები ერთად 64% დროის; PowerShell და Cobalt Strike ერთად 56% საქმეების; და PowerShell და PsExec ერთად 51% შემთხვევაში. ასეთი კორელაციების აღმოჩენა შეიძლება იყოს ადრეული გაფრთხილება მოსალოდნელი თავდასხმის შესახებ ან დადასტურება შეტევის მიმდინარეობის შესახებ.

• დაკვირვებული გამოსასყიდი პროგრამების ინციდენტების 50% მოიცავდა მონაცემთა ექსფილტრაციას - და ხელმისაწვდომი მონაცემებით, მონაცემთა მოპარვასა და გამოსასყიდ პროგრამის გააქტიურებას შორის საშუალო ინტერვალი იყო 4,28 დღე. იმ ინციდენტების 73%, რომლებშიც Sophos ჩაერია 2021 წელს, ეხებოდა გამოსასყიდის შემთხვევებს. აქედან 50% ასევე მოიცავდა მონაცემთა ექსფილტრაციას. ექსფილტრაცია ხშირად არის თავდასხმის ბოლო ეტაპი გამოსასყიდის პროგრამის გააქტიურებამდე და ინციდენტების ანალიზმა გამოითვალა საშუალო ინტერვალი ორ მოვლენას შორის 4,28 დღე, მედიანური 1,84 დღე.

• ანგარიშები ეს იყო ბანდა ყველაზე ნაყოფიერი გამოსასყიდი პროგრამა 2021 წელს დაფიქსირებულთა შორის, რომელიც პასუხისმგებელია მთლიანი ინციდენტების 18%-ზე. გამოსასყიდი პროგრამა აღორძინება ჩართული იყო 1-დან 10 ინციდენტიდან, ხოლო სხვა ფართოდ გავრცელებული გამოსასყიდი ოჯახები Ბნელი მხარე, აშშ-ში კოლონიალურ მილსადენზე თავდასხმაში დამნაშავე RaaS, ე შავი სამეფო, გამოსასყიდის პროგრამის ერთ-ერთი "ახალი" ოჯახი, რომელიც გამოჩნდა 2021 წლის მარტში ProxyLogon დაუცველობის გამო. ანალიზით დაფარული 41 ინციდენტის დროს გამოვლინდა 144 სხვადასხვა გამოსასყიდი პროგრამის ოპერატორი; აქედან 28 ახალი ჯგუფია, რომლებიც პირველად გაჩნდა 2021 წელს. 2020 წელს ავარიებზე პასუხისმგებელი თვრამეტი ბანდა გაქრა 2021 წლის სიიდან.

„ნიშნები, რომლებმაც უნდა გააფრთხილონ IT უსაფრთხოების მენეჯერები, მოიცავს ხელსაწყოს აღმოჩენას, ხელსაწყოების ან აქტივობების ერთობლიობას ქსელის მოულოდნელ წერტილში ან მოულოდნელ მომენტში“, განმარტავს შიერი. „ღირსია გვახსოვდეს, რომ შეიძლება იყოს მცირე აქტივობა ან საერთოდ არ იყოს, მაგრამ ეს არ ნიშნავს იმას, რომ კომპანია არ არის გატეხილი. არსებობს, მაგალითად, ბევრი უფრო მეტი ProxyLogon ან ProxyShell დარღვევა, ვიდრე ამჟამად ცნობილია, სადაც ვებ ჭურვები და უკანა კარები დაინსტალირებულია მუდმივი წვდომის მისაღებად და რომლებიც ამჟამად უმოქმედო რჩება მანამ, სანამ წვდომა არ იქნება გამოყენებული ან გადაყიდვა სხვებზე. პატჩები უნდა იქნას გამოყენებული კრიტიკული შეცდომების გამოსასწორებლად, განსაკუთრებით პოპულარულ პროგრამულ უზრუნველყოფაში და, როგორც პრიორიტეტი, გააძლიეროს დისტანციური წვდომის სერვისების უსაფრთხოება. სანამ არ დაიხურება დაუცველი შესასვლელი პუნქტები და არ აღმოიფხვრება ყველაფერი, რაც თავდამსხმელებმა გააკეთეს წვდომის დასამყარებლად და შესანარჩუნებლად, ნებისმიერს შეეძლება მათთან შესვლა და, ალბათ, შეძლებს. ”

Sophos Active Adversary Playbook 2022-ის კვლევა ეფუძნება 144 ინციდენტს, რომელიც მოხდა 2021 წელს ყველა ზომის და ბიზნეს სექტორის კომპანიებში, რომლებიც მდებარეობს შემდეგ ქვეყნებში: აშშ, კანადა, დიდი ბრიტანეთი, გერმანია, იტალია, ესპანეთი, საფრანგეთი, შვეიცარია, ბელგია, ნიდერლანდები. ავსტრია, არაბთა გაერთიანებული საამიროები, საუდის არაბეთი, ფილიპინები, ბაჰამის კუნძულები, ანგოლა და იაპონია.

ყველაზე მეტად წარმოდგენილია მრეწველობა (17%), საცალო ვაჭრობა (14%), ჯანდაცვა (13%), IT (9%), მშენებლობა (8%) და სკოლა (6%).

Sophos-ის ანგარიშის მიზანია დაეხმაროს კიბერუსაფრთხოების მენეჯერებს გააცნობიერონ რას აკეთებენ მათი მოწინააღმდეგეები თავდასხმების დროს და როგორ აღმოაჩინონ და დაიცვან თავი ქსელში გავრცელებული მავნე აქტივობისგან. კიბერდანაშაულების ქცევის, ხელსაწყოებისა და ტექნიკის შესახებ მეტი ინფორმაციისთვის იხილეთ Sophos Active Adversary Playbook 2022 Sophos News-ზე.