Lêkolîna Sophos Active Adversary Playbook 2022 eşkere dike ku sûcdarên sîber 'dema rûniştinê di torên mexdûrên xwe de ji sedî 36 zêde bûye.

Sophos, rêberê gerdûnî di ewlehiya sîberê ya nifşê din de, îro hate berdan "Pirtûka Lîstika Dijminê Çalak 2022”, il report che riassume i comportamenti cybercriminali osservati sul campo dal team Rapid Response di Sophos nel corso del 2021.

Daneyên ku ji lêkolînê derdikevin nîşan didin a 36% zêdebûna dema ku sûcdarên sîber di hundurê pergalên bandorkirî de di sala 2021-an de derbas kirin bi nirxa navîn 15 roj li gorî 11 di 2020 de.

Rapor di heman demê de bandora lawaziyên ProxyShell di hundurê Microsoft Exchange de jî ronî dike, ku Sophos bawer dike ku ji hêla hin Brokerên Gihîştina Destpêkê (IAB) ve têne bikar anîn da ku toran bişkînin û dûv re gihîştina êrişkerên din ji nû ve bifroşin.

"Cîhana sûcê sîber pir cihêreng û pispor bûye. Ew Brokera Gihîştina Destpêkê (ku endustriya sûcê sîber bigihîne pergalên IT yên pargîdaniyan peyda dike) pîşesaziyek rastîn pêşxistiye ku hedefek dişkîne, hawîrdora wê ya IT-yê vedikole an derîyek paşde saz dike, û dûv re gihîştina çeteyên ku hedef dikin ji nû ve difroşe. ransomware John Shier, şêwirmendê ewlehiyê yê payebilind li Sophos diyar dike. "Di vê perestgeha her ku diçe dînamîk û pispor de, dibe ku ji pargîdaniyan re dijwar be ku bi pêşkeftina amûr û nêzîkatiyên ku ji hêla sûcdarên sîber ve têne bikar anîn bidomînin. Pêdivî ye ku parêzvan zanibin ku di her qonaxek rêza êrîşê de li çi bigerin, da ku ew bi lez û bez hewildanên binpêkirinê kifş bikin û bêbandor bikin."

Lêkolîna Sophos di heman demê de destnîşan dike ku dema rûniştina dagirker li hawîrdorên IT-ya pargîdaniya mezin dirêjtir e piçûk: dor 51 roj di pargîdaniyên ku heya 250 karmendan de ne li hember 20 rojan di pargîdaniyên bi 3.000 heya 5.000 karmendan de.

"Sûcdarên sîber nirxek bilindtir didin pargîdaniyên mezin, ji ber vê yekê ew bêtir motîve dibin ku têkevin hundur, tiştê ku divê bikin bikin, û dûv re derkevin. Pargîdaniyên piçûk xwedan 'nirx'ek kêmtir in, ji ber vê yekê aktorên xirab dikarin ji bo demên dirêjtir di hundurê torê de bimînin. Di heman demê de mimkun e ku di van rewşan de êrîşkar kêm ezmûn bin û ji ber vê yekê bêtir dem hewce dike ku ew fêm bikin ka meriv carekê di hundurê torê de çi bikin. Digel vê yekê, pargîdaniyên piçûk bi gelemperî di rêzikên êrîşê de kêmtir xuyang in û ji ber vê yekê dijwartir dibin ku binpêkirinan tesbît bikin û bêbandor bikin, bi vî rengî hebûna sûcdarên sîber dirêj dikin, " şîrove dike Shier. "Ligel fersendên ku ji qelsiyên ProxyLogon û ProxyShell nehatine çareser kirin û zêdebûna Brokerên Gihîştina Destpêkê, em her ku diçe pir êrîşker di nav heman mexdûrê de dibînin. Ger di torgilokekê de gelek aktorên xirab hebin, her yek ji wan dê bixwaze bi lez û bez tevbigere da ku pêşbaziyê têk bibe."

 Di nav daneyên herî têkildar ên ku derketine holê ev in:

• Nirxa navîn a dema ku sûcdarên sîber beriya ku werin keşfkirin dimînin ji bo destwerdanên "dizî" yên ku êrişên diyar ên mîna ransomware nahêlin, û ji bo pargîdaniyên piçûk û beşên aborî yên piçûk ên ku xwedan çavkaniyên hindiktir ji ewlehiya IT-ê re hatine veqetandin mezintir e. Nirxa navînî ya dema rûniştinê di pargîdaniyên ku ji hêla ransomware ve bandor bûne de ye 11 roj bûn. Li doza binpêkirinên ku bi êrîşên eşkere yên wekî ransomware nehatine şopandin (% 23 ji hemî bûyeran hatine analîz kirin), nirxa navîn 34 roj bû. Pargîdaniyên ku girêdayî sektora dibistanê ne an ku ji 500 xebatkarên wan kêmtir in, demên ragirtinê hê dirêjtir tomar kirine.

• Demên rûniştina dirêjtir û xalên gihîştinê yên vekirî pargîdaniyan li ber gelek êrîşan dihêle. Delîlên dozên ku heman pargîdanî rastî êrişên gelek dijberan ên wekî IAB derket holê, çeteyên pispor ransomware, krîptominer û carinan jî operatorên ku bi gelek ransomware ve girêdayî ne.

• Tevî kêmbûna karanîna Protokola Sermaseya Dûr (RDP) ji bo gihîştina derveyî, êrîşkaran karanîna wê ji bo mebestên tevgera laşî ya navxweyî zêde kirine. Di sala 2020-an de RDP ji bo çalakiyên derveyî di 32% ji dozên hatine analîz kirin de hate bikar anîn, ev rêje di sala 13 de daket %2021. Digel ku ev guhertin bi xêr hatî û rêveberiya çêtir a rûberên êrîşa derveyî ji hêla pargîdaniyan ve pêşnîyar dike, sûcdarên sîber ji bo tevgerên xweyên hundurîn ên hundurî destdirêjiya RDP-yê didomînin. Sophos dît ku karanîna RDP ji bo tevgerên paşîn ên hundurîn di 82% bûyerên ku di sala 2021-an de hatine analîz kirin pêk tê. li dijî 69% del 2020

• Kombînasyona hevpar a amûrên ku ji bo êrîşan têne bikar anîn nîşanek hişyariya çalakiya nedilxwaz in. Mînakî, analîzên bûyerên ewlehiyê dîtin ku di sala 2021-an de nivîsar hatine dîtin Nivîsarên xerab ên PowerShell û ne-PowerShell bi hev re di 64% bûyeran de; PowerShell û Cobalt Strike bi hev re di %56 de rewşan de; Û PowerShell û PsExec bi hev re di 51% bûyeran de. Tespîtkirina pêwendiyên weha dikare wekî hişyariyek zû ya êrişek nêzîk an jî wekî piştrastkirina êrişek di pêşveçûnê de xizmet bike.

• 50% ji bûyerên ransomware yên hatine dîtin bi derxistina daneyê ve girêdayî ne - û digel daneyên berdest, navbera navîn di navbera derxistina daneyan û çalakkirina ransomware de 4,28 roj bû. 73% ji bûyerên ku Sophos di 2021 de bersiv da ransomware. Ji van, 50% jî bi derxistina daneyan ve girêdayî ye. Derketin bi gelemperî qonaxa paşîn a êrîşê ye berî ku ransomware were çalak kirin, û analîzên bûyerê navberek navînî di navbera her du bûyerên 4,28 rojan de bi nirxek navînî 1,84 rojan hesab kirin.

• Conti ew çete bû ransomware ya herî berbelav ku di sala 2021-an de hatî dîtin, berpirsiyarê 18% ji bûyerên giştî ye. The ransomware Rûnişte bandor li 1 ji 10 bûyeran kir, dema ku malbatên ransomware yên berbelav bûn Aliyê tarî, RaaS berpirsiyarê êrîşa li ser xeta boriya Kolonial li DYE, û Black King Dom, yek ji malbatên ransomware yên "nû" ku di Adara 2021-an de ji ber xirapbûna ProxyLogon xuya bû. 41 operatorên ransomware yên cihêreng di 144 bûyerên ku ji hêla analîzê ve hatine girtin de hatine nas kirin; Ji wan 28 çeteyên nû ne ku di sala 2021an de cara ewil derketine holê. 2020 çeteyên ku di sala 2021an de bûne berpirsyar ji lîsteya XNUMXê winda bûne.

"Sînyalên ku divê rêvebirên ewlehiya IT-ê hişyar bikin di nav de vedîtina amûrek, berhevokek amûr an çalakiyan li xalek nediyar a torê an di demek nediyar de vedihewîne," Shier diyar dike. "Hêjayî bibîrxistinê ye ku dibe ku demên kêm çalakî hebin an jî qet tune bin, lê ev nayê wê wateyê ku pargîdaniyek nehatiye hack kirin. Mînakî, belkî ji yên ku niha têne zanîn pir zêdetir binpêkirinên ProxyLogon an ProxyShell hene, ku li wir şêlên webê û deriyên paşde hatine saz kirin da ku gihîştina domdar bidest bixin û yên ku heya niha nekarin bikar bînin an ji yên din re ji nû ve bifroşin. Pêdivî ye ku patches werin sepandin da ku xeletiyên krîtîk, nemaze di nermalava populer de çareser bikin, û, wekî pêşîn, bihêzkirina ewlehiya karûbarên gihîştina dûr. Heya ku xalên têketinê yên eşkere neyên girtin û her tiştê ku êrîşkaran ji bo danîn û domandina gihîştinê kirine ji holê ranebe, dê her kes bikaribe bi wan re têkeve hundur, û dibe ku ew bike."

Lêkolîna Sophos Active Adversary Playbook 2022 li ser bingeha 144 bûyeran di sala 2021-an de li seranserê pargîdaniyên ji hemî mezinahî û sektorên karsaziyê yên ku li welatên jêrîn hene: DY, Kanada, Keyaniya Yekbûyî, Almanya, Italytalya, Spanya, Fransa, Swîsre, Belçîka, Hollanda, Avusturya. , Emîrtiyên Yekbûyî yên Ereb, Erebistana Siûdî, Fîlîpîn, Bahama, Angola û Japonya.

Sektorên ku herî zêde tên temsîlkirin pîşesazî (17%), firoşgeh (14%), lênihêrîna tenduristî (13%), IT (9%), avahî (8%) û dibistan (6%) ne.

Armanca raporta Sophos ew e ku ji rêvebirên ewlehiya sîber re bibe alîkar ku fêm bikin ka dijberên wan di dema êrîşan de çi dikin û meriv çawa li hember çalakiya xirab a ku li serhêl belav dibe tesbît bike û biparêze. Ji bo bêtir agahdarî li ser tevger, amûr û teknîkên ku ji hêla sûcdarên sîber ve têne bikar anîn, hûn dikarin bi Sophos Active Adversary Playbook 2022 li ser Sophos News şêwir bikin.