Sophos Active Adversary Playbook 2022 зерттеуі киберқылмыскерлердің «құрбандарының» желілерінде тұру уақыты 36%-ға артқанын көрсетті.

Sophos, келесі ұрпақ киберқауіпсіздік саласындағы әлемдік көшбасшы, бүгін жарияланған «Белсенді қарсылас ойын кітабы 2022 », Sophos Rapid Response тобының 2021 жылы далада байқаған киберқылмыстық әрекеттерін қорытындылайтын есеп.

Зерттеу нәтижесінде алынған деректер а 36 жылы киберқылмыскерлердің зардап шеккен жүйелерде қалу уақыты 2021%-ға артады медианасы 15 жылғы 11 күнмен салыстырғанда 2020 күн.

Есеп сонымен қатар Microsoft Exchange жүйесіндегі ProxyShell осалдықтарының әсерін көрсетеді, оны Sophos кейбір Бастапқы қол жеткізу брокерлері (IABs) желілерді бұзып, содан кейін басқаларға рұқсатын қайта сату үшін пайдаланады деп есептейді.

«Киберқылмыс әлемі керемет әртүрлі және мамандандырылған болды. The Бастапқы қол жеткізу брокері (киберқылмыс саласына корпоративтік АТ жүйелеріне қол жеткізуді қамтамасыз ететін) мақсатты бұзатын, оның АТ ортасын зерттейтін немесе бэкдор орнататын, содан кейін онымен айналысатын бандаларға қолжетімділікті қайта сататын нақты саланы дамытты. қорқытып деп түсіндіреді Джон Шиер, Sophos қауіпсіздік жөніндегі аға кеңесші. «Барған сайын серпінді және мамандандырылған сценарийде компанияларға киберқылмыскерлер қолданатын құралдар мен тәсілдердің эволюциясына ілесу қиын болуы мүмкін. Қорғаушы шабуылдар реттілігінің әр кезеңінде не іздеу керектігін білуі өте маңызды, осылайша олар бұзу әрекеттерін мүмкіндігінше тез анықтап, бейтараптай алады ».

Sophos зерттеулері сонымен қатар зиянкестердің корпоративтік АТ орталарында тұру уақыты басқаларға қарағанда ұзағырақ екенін көрсетеді. шағын: 51-нан 250-ға дейін қызметкері барлардағы 20 күнмен салыстырғанда 3.000-ге дейін қызметкері бар шамамен 5.000 күн.

«Киберқылмыскерлер ірі компанияларды жоғары бағалайды, сондықтан олар кіруге, не істеу керек болса, сосын шығуға ынталы болады. Кішігірім компанияларда «құндылық» төмен, сондықтан шабуылдаушылар желі ішінде ұзақ уақыт қалуға мүмкіндік алады. Сондай-ақ, мұндай жағдайларда шабуылдаушылар тәжірибесі аз болуы мүмкін, сондықтан желіде бір рет не істеу керектігін анықтау үшін көбірек уақыт қажет. Шағын бизнесте әдетте шабуылдар реттілігі азырақ көрінеді, демек, бұзушылықтарды анықтау және бейтараптандыру қиынырақ болады, осылайша киберқылмыскерлердің қатысуын ұзартады », - деп түсіндірді Шиер. «Шешілмеген ProxyLogon және ProxyShell осалдықтарынан және бастапқы қол жеткізу брокерлерінің таралуынан туындайтын мүмкіндіктерге байланысты біз бір жәбірленушінің ішінде бірнеше шабуылдаушы бар-жоғын жиі тексеріп жатырмыз. Егер желіде қылмыскерлер көп болса, олардың әрқайсысы бәсекелестікті уақытында жеңу үшін мүмкіндігінше тез әрекет еткісі келеді ».

 Пайда болған ең өзекті деректердің ішінде мыналарды атап өткен жөн:

• Киберқылмыскерлердің табылғанға дейін болатын орташа ұзақтығы төлем бағдарламалық құралы сияқты ашық шабуылдарды тудырмайтын жасырын кірулер үшін және АТ қауіпсіздік ресурстары аз шағын бизнес пен шағын бизнес сегменттері үшін көбірек. Ransomware әсер еткен компанияларда тұру уақытының медианалық мәні 11 күн болды. жылы төлемдік бағдарламалық қамтамасыз ету (талданған барлық оқиғалардың 23%) сияқты айқын шабуылдармен жалғаспаған бұзушылықтар жағдайында медиана 34 күнді құрады. Мектеп секторына жататын немесе 500-ден аз қызметкері бар шындықтар одан да ұзақ тұру уақытын жазды.

• Ұзақ тұру уақыты және ашық кіру нүктелері компанияларды бірнеше шабуылдарға ұшыратады. Бір компания IAB сияқты бірнеше қарсыластардың шабуылына ұшыраған жағдайлардың дәлелі болды. р бойынша маманданған бандаларансомдық бағдарламалық қамтамасыз ету, криптоминерлер және кейде тіпті бірнеше төлем бағдарламасына байланысты операторлар.

• Сыртқы қатынау үшін қашықтағы жұмыс үстелі протоколын (RDP) пайдаланудың төмендеуіне қарамастан, шабуылдаушылар оны ішкі бүйірлік қозғалыс мақсаттары үшін пайдалануды арттырды. 2020 жылы RDP талданған жағдайлардың 32% -ында сыртқы әрекеттер үшін пайдаланылды, көрсеткіш 13 жылы 2021%-ға дейін төмендеді. Бұл өзгеріс құпталады және компаниялардың сыртқы шабуыл беттерін жақсырақ басқаруды ұсынса да, киберқылмыскерлер ішкі бүйірлік қозғалыстары үшін RDP-ны теріс пайдалануды жалғастыруда. Софос ішкі бүйірлік қозғалыстар үшін RDP пайдалану 82 жылы талданған жағдайлардың 2021% -ында орын алғанын анықтады. бақылаңыз 69% дель 2020

• Шабуыл жасау үшін қолданылатын құралдардың жалпы комбинациясы қажетсіз әрекеттің ескерту белгісі болып табылады. Мысалы, қауіпсіздік оқиғасының талдауы сценарийлердің 2021 жылы байқалғанын анықтады PowerShell және PowerShell емес зиянды сценарийлер бірге уақыттың 64% құрайды; PowerShell және Cobalt Strike бірге 56% істер бойынша; Және PowerShell және PsExec 51% жағдайда бірге. Мұндай корреляцияны анықтау алдағы шабуыл туралы алдын ала ескерту немесе орындалып жатқан шабуылды растау ретінде қызмет етуі мүмкін.

• Байқалған төлемді бағдарламалық қамтамасыз ету оқиғаларының 50%-ы деректерді эксфильтрациялаумен байланысты болды - деректер қол жетімді болған кезде деректерді ұрлау мен төлемдік бағдарламалық құралды белсендіру арасындағы орташа аралық 4,28 күн болды. 73 жылы Sophos араласқан оқиғалардың 2021% төлем бағдарламалық қамтамасыз ету жағдайларына қатысты. Олардың 50%-ы деректерді эксфильтрациялауға да қатысты. Эксфильтрация көбінесе төлем бағдарламасы іске қосылғанға дейінгі шабуылдың соңғы кезеңі болып табылады және инциденттерді талдау 4,28 күндік медианамен 1,84 күндік екі оқиға арасындағы орташа аралықты есептеді.

• Конти бұл банда болды 2021 жылы байқалғандардың ішіндегі ең көп таралған төлем бағдарламасы, жалпы оқиғалардың 18%-ына жауап береді. Төлемдік бағдарлама Ревиль 1 оқиғаның 10-іне қатысты, ал басқа кең тараған ransomware отбасылары болды Қараңғы жақ, АҚШ-тағы колониялық құбырға жасалған шабуылға кінәлі RaaS, e Қара патшалық, 2021 жылдың наурыз айында ProxyLogon осалдығынан кейін пайда болған төлемдік бағдарламалық қамтамасыз етудің «жаңа» отбасыларының бірі. Талдаумен қамтылған 41 оқиғада 144 түрлі төлемдік бағдарламалық қамтамасыз ету операторлары анықталды; оның 28-і 2021 жылы алғаш рет пайда болған жаңа топ. 2020 жылы жазатайым оқиғаларға жауапты 2021 банда XNUMX жылғы тізімнен жоғалып кетті.

«АТ қауіпсіздігі менеджерлерін ескертуі керек белгілерге желідегі күтпеген жерден немесе күтпеген сәтте құралды, құралдардың немесе әрекеттердің комбинациясын анықтау кіреді», - деп түсіндіреді Шиер. «Әрекеттің аз немесе мүлдем болмайтын уақыттары болуы мүмкін екенін есте ұстаған жөн, бірақ бұл компания бұзылмаған дегенді білдірмейді. Мысалы, тұрақты қатынасты алу үшін веб қабықшалары мен бэкдорлары орнатылған және рұқсат пайдаланылғанша немесе басқаларға қайта сатылмайынша белсенді емес болып қалатын, қазіргі уақытта белгілі болғаннан көп ProxyLogon немесе ProxyShell бұзушылықтары болуы мүмкін. . Әсіресе танымал бағдарламалық жасақтамадағы маңызды қателерді түзету және басымдық ретінде қашықтан қол жеткізу қызметтерінің қауіпсіздігін күшейту үшін патчтарды қолдану қажет. Ашық кіру нүктелері жабылмайынша және шабуылдаушылар қол жеткізуді орнату және қолдау үшін жасаған барлық нәрсе жойылмайынша, кез келген адам олармен бірге кіре алады және мүмкін болады ».

Sophos Active Adversary Playbook 2022 зерттеуі келесі елдерде орналасқан барлық көлемдегі компаниялар мен бизнес секторларында 144 жылы орын алған 2021 оқиғаға негізделген: АҚШ, Канада, Ұлыбритания, Германия, Италия, Испания, Франция, Швейцария, Бельгия, Нидерланды , Австрия, Біріккен Араб Әмірліктері, Сауд Арабиясы, Филиппин, Багам аралдары, Ангола және Жапония.

Ең көп ұсынылған салалар – өнеркәсіп (17%), бөлшек сауда (14%), денсаулық сақтау (13%), IT (9%), құрылыс (8%) және мектеп (6%).

Sophos есебінің мақсаты - киберқауіпсіздік менеджерлеріне шабуылдар кезінде қарсыластары не істеп жатқанын және желіде айналатын зиянды әрекеттерді қалай анықтауға және қорғауға болатынын түсінуге көмектесу. Киберқылмыскерлердің мінез-құлқы, құралдары мен әдістері туралы қосымша ақпаратты Sophos News сайтындағы Sophos Active Adversary Playbook 2022 бөлімінен қараңыз.