ການຄົ້ນຄວ້າ Sophos Active Adversary Playbook 2022 ເປີດເຜີຍວ່າ 'ເວລາທີ່ຢູ່ອາໄສໃນເຄືອຂ່າຍຜູ້ເຄາະຮ້າຍຂອງພວກເຂົາ' ເພີ່ມຂຶ້ນ 36%

Sophos​ເຊິ່ງ​ເປັນ​ຜູ້​ນຳ​ດ້ານ​ຄວາມ​ປອດ​ໄພ​ທາງ​ອິນ​ເຕີ​ແນັດ​ຍຸກ​ຕໍ່​ໄປ​ໃນ​ທົ່ວ​ໂລກ​ໄດ້​ພິມ​ເຜີຍ​ແຜ່​ໃນ​ວັນ​ນີ້.Active Adversary Playbook 2022 ", ບົດລາຍງານທີ່ສະຫຼຸບເຖິງພຶດຕິກໍາຂອງອາຊະຍາກໍາທາງອິນເຕີເນັດທີ່ສັງເກດເຫັນຢູ່ໃນພາກສະຫນາມໂດຍທີມງານຕອບສະຫນອງຢ່າງໄວວາຂອງ Sophos ໃນລະຫວ່າງປີ 2021.

ຂໍ້​ມູນ​ທີ່​ເກີດ​ຈາກ​ການ​ຄົ້ນ​ຄວ້າ​ສະ​ແດງ​ໃຫ້​ເຫັນ a ເພີ່ມຂຶ້ນ 36% ຂອງເວລາທີ່ອາດຊະຍາກຳທາງອິນເຕີເນັດຢູ່ໃນລະບົບທີ່ໄດ້ຮັບຜົນກະທົບໃນປີ 2021 ໂດຍສະເລ່ຍ 15 ວັນ ເມື່ອທຽບກັບ 11 ປີ 2020.

ບົດລາຍງານຍັງຊີ້ໃຫ້ເຫັນເຖິງຜົນກະທົບຂອງຊ່ອງໂຫວ່ ProxyShell ພາຍໃນ Microsoft Exchange, ເຊິ່ງ Sophos ເຊື່ອວ່າຖືກຂູດຮີດໂດຍບາງນາຍຫນ້າການເຂົ້າເຖິງເບື້ອງຕົ້ນ (IABs) ເພື່ອລະເມີດເຄືອຂ່າຍແລະຫຼັງຈາກນັ້ນຂາຍຄືນການເຂົ້າເຖິງຂອງພວກເຂົາໃຫ້ກັບຜູ້ອື່ນ.

“ໂລກຂອງອາຊະຍາກຳທາງອິນເຕີເນັດໄດ້ກາຍເປັນຄວາມຫຼາກຫຼາຍ ແລະມີຄວາມຊ່ຽວຊານຢ່າງບໍ່ໜ້າເຊື່ອ. ໄດ້ ນາຍໜ້າການເຂົ້າເຖິງເບື້ອງຕົ້ນ (that provide the cybercrime industry to access to corporate IT systems) ໄດ້ພັດທະນາອຸດສາຫະກໍາທີ່ແທ້ຈິງທີ່ hacks ເຂົ້າໄປໃນເປົ້າຫມາຍ, ຂຸດຄົ້ນສະພາບແວດລ້ອມ IT ຂອງຕົນຫຼືຕິດຕັ້ງ backdoor, ແລະຫຼັງຈາກນັ້ນ resells ການເຂົ້າເຖິງ gangs ທີ່ຈັດການກັບມັນ. ransomware ອະທິບາຍ John Shier, ທີ່ປຶກສາດ້ານຄວາມປອດໄພອາວຸໂສ Sophos. "ໃນສະຖານະການທີ່ມີການເຄື່ອນໄຫວແລະຄວາມຊ່ຽວຊານທີ່ເພີ່ມຂຶ້ນນີ້, ມັນອາດຈະເປັນການຍາກສໍາລັບບໍລິສັດທີ່ຈະຮັກສາຈັງຫວະການວິວັດທະນາການຂອງເຄື່ອງມືແລະວິທີການທີ່ໃຊ້ໂດຍອາຊະຍາກໍາທາງອິນເຕີເນັດ. ມັນເປັນສິ່ງ ຈຳ ເປັນທີ່ຜູ້ຖືກກ່າວຟ້ອງຮູ້ສິ່ງທີ່ຕ້ອງຊອກຫາໃນແຕ່ລະຂັ້ນຕອນຂອງ ລຳ ດັບການໂຈມຕີ, ເພື່ອໃຫ້ພວກເຂົາສາມາດກວດພົບແລະສະກັດກັ້ນຄວາມພະຍາຍາມລະເມີດໄວເທົ່າທີ່ຈະໄວໄດ້.”

ການຄົ້ນຄວ້າ Sophos ຍັງສະແດງໃຫ້ເຫັນວ່າເວລາທີ່ຢູ່ອາໄສຂອງຜູ້ບຸກລຸກແມ່ນຍາວກວ່າໃນສະພາບແວດລ້ອມ IT ຂອງບໍລິສັດຫຼາຍກວ່າທີ່ສຸດ. ຂະຫນາດນ້ອຍ: ປະມານ 51 ມື້ໃນຄວາມເປັນຈິງທີ່ມີພະນັກງານສູງເຖິງ 250 ຕໍ່ກັບ 20 ມື້ໃນຜູ້ທີ່ມີພະນັກງານ 3.000 ຫາ 5.000 ຄົນ.

"ອາຊະຍາກໍາທາງອິນເຕີເນັດເຮັດໃຫ້ບໍລິສັດຂະຫນາດໃຫຍ່ມີມູນຄ່າສູງກວ່າ, ດັ່ງນັ້ນພວກເຂົາມີແຮງຈູງໃຈຫຼາຍທີ່ຈະເຂົ້າໄປໃນ, ເຮັດສິ່ງທີ່ພວກເຂົາຕ້ອງເຮັດ, ແລະຫຼັງຈາກນັ້ນອອກໄປ. ບໍລິສັດຂະຫນາດນ້ອຍມີການຮັບຮູ້ 'ມູນຄ່າ' ຕ່ໍາ, ດັ່ງນັ້ນຜູ້ໂຈມຕີສາມາດທີ່ຈະຢູ່ໃນເຄືອຂ່າຍເປັນເວລາດົນກວ່າ. ມັນເປັນໄປໄດ້ວ່າໃນກໍລະນີເຫຼົ່ານີ້ຜູ້ໂຈມຕີແມ່ນມີປະສົບການຫນ້ອຍແລະດັ່ງນັ້ນຈິ່ງໃຊ້ເວລາຫຼາຍເພື່ອຄິດອອກວ່າຈະເຮັດແນວໃດໃນເຄືອຂ່າຍ. ໂດຍທົ່ວໄປແລ້ວ, ທຸລະກິດຂະຫນາດນ້ອຍຍັງມີການເບິ່ງເຫັນຫນ້ອຍລົງໃນລໍາດັບການໂຈມຕີແລະດັ່ງນັ້ນຈິ່ງມີເວລາທີ່ຫຍຸ້ງຍາກໃນການກວດສອບແລະເປັນກາງການລະເມີດ, ດັ່ງນັ້ນຈຶ່ງເຮັດໃຫ້ການປະກົດຕົວຂອງອາຊະຍາກໍາທາງອິນເຕີເນັດ, "ຄໍາເຫັນ Shier. "ດ້ວຍໂອກາດທີ່ເກີດຂື້ນຈາກຄວາມອ່ອນແອຂອງ ProxyLogon ແລະ ProxyShell ທີ່ບໍ່ໄດ້ຮັບການແກ້ໄຂແລະການແຜ່ກະຈາຍຂອງນາຍຫນ້າການເຂົ້າເຖິງເບື້ອງຕົ້ນ, ພວກເຮົານັບມື້ນັບມີການກວດສອບຜູ້ໂຈມຕີຫຼາຍໆຄົນພາຍໃນຜູ້ຖືກເຄາະຮ້າຍດຽວກັນ. ຖ້າ​ຫາກ​ວ່າ​ມີ​ຄະ​ດີ​ອາ​ຍາ​ຫຼາຍ​ໃນ​ເຄືອ​ຂ່າຍ​, ພວກ​ເຂົາ​ເຈົ້າ​ແຕ່​ລະ​ຄົນ​ຈະ​ຕ້ອງ​ການ​ທີ່​ຈະ​ດໍາ​ເນີນ​ການ​ໄວ​ເທົ່າ​ທີ່​ເປັນ​ໄປ​ໄດ້​ເພື່ອ​ເອົາ​ຊະ​ນະ​ການ​ແຂ່ງ​ຂັນ​ໄດ້​ທັນ​ເວ​ລາ ”.

 ໃນບັນດາຂໍ້ມູນທີ່ກ່ຽວຂ້ອງທີ່ສຸດທີ່ເກີດຂື້ນ, ຄວນສັງເກດວ່າ:

• ໄລຍະເວລາສະເລ່ຍຂອງອາຊະຍາກຳທາງອິນເຕີເນັດຢູ່ກ່ອນທີ່ຈະຖືກຄົ້ນພົບແມ່ນໃຫຍ່ກວ່າສຳລັບການບຸກຮຸກລັກລອບທີ່ບໍ່ກໍ່ໃຫ້ເກີດການໂຈມຕີແບບຮ້າຍກາດເຊັ່ນ: ransomware, ແລະສຳລັບທຸລະກິດຂະໜາດນ້ອຍ ແລະທຸລະກິດຂະໜາດນ້ອຍທີ່ມີຊັບພະຍາກອນຄວາມປອດໄພດ້ານໄອທີໜ້ອຍລົງ. ມູນຄ່າສະເລ່ຍຂອງເວລາທີ່ຢູ່ອາໄສໃນບໍລິສັດທີ່ໄດ້ຮັບຜົນກະທົບຈາກ ransomware ແມ່ນ ໄດ້ 11 ມື້. ໃນ ກໍລະນີຂອງການລະເມີດທີ່ບໍ່ໄດ້ປະຕິບັດຕາມໂດຍການໂຈມຕີທີ່ຊັດເຈນເຊັ່ນ ransomware (23% ຂອງເຫດການທັງຫມົດທີ່ຖືກວິເຄາະ), ສະເລ່ຍແມ່ນ 34 ມື້. ຄວາມເປັນຈິງທີ່ຂຶ້ນກັບຂະແຫນງການໂຮງຮຽນຫຼືມີພະນັກງານຫນ້ອຍກວ່າ 500 ຄົນໄດ້ບັນທຶກເວລາທີ່ຢູ່ອາໃສດົນກວ່ານັ້ນ.

• ເວລາທີ່ຢູ່ອາໃສດົນຂຶ້ນແລະຈຸດເຂົ້າເຖິງທີ່ເປີດເຮັດໃຫ້ບໍລິສັດປະເຊີນກັບການໂຈມຕີຫຼາຍຄັ້ງ. ມີຫຼັກຖານຂອງກໍລະນີທີ່ບໍລິສັດດຽວກັນຖືກໂຈມຕີຈາກສັດຕູຫຼາຍເຊັ່ນ IAB, gangs ຊ່ຽວຊານໃນ ransomware, cryptominers ແລະບາງຄັ້ງເຖິງແມ່ນວ່າຜູ້ປະກອບການເຊື່ອມຕໍ່ກັບ ransomware ຫຼາຍ.

• ເຖິງວ່າຈະມີການຫຼຸດລົງຂອງການນໍາໃຊ້ Remote Desktop Protocol (RDP) ສໍາລັບການເຂົ້າເຖິງພາຍນອກ, ຜູ້ໂຈມຕີໄດ້ເພີ່ມການນໍາໃຊ້ຂອງມັນເພື່ອຈຸດປະສົງການເຄື່ອນໄຫວພາຍໃນ. ໃນປີ 2020, RDP ໄດ້ຖືກນໍາໃຊ້ສໍາລັບກິດຈະກໍາພາຍນອກໃນ 32% ຂອງກໍລະນີທີ່ໄດ້ວິເຄາະ, ຕົວເລກຫຼຸດລົງເຖິງ 13% ໃນປີ 2021. ໃນຂະນະທີ່ການປ່ຽນແປງນີ້ແມ່ນຍິນດີຕ້ອນຮັບແລະແນະນໍາການຄຸ້ມຄອງທີ່ດີກວ່າຂອງຫນ້າການໂຈມຕີພາຍນອກໂດຍບໍລິສັດ, cybercriminals ຍັງສືບຕໍ່ລ່ວງລະເມີດ RDP ສໍາລັບການເຄື່ອນໄຫວພາຍໃນຂອງພວກເຂົາ. Sophos ພົບວ່າການນໍາໃຊ້ RDP ສໍາລັບການເຄື່ອນໄຫວພາຍໃນໄດ້ເກີດຂື້ນໃນ 82% ຂອງກໍລະນີທີ່ວິເຄາະໃນປີ 2021. ຕ້ານ 69% ໄດ້ 2020

• ການປະສົມປະສານທົ່ວໄປຂອງເຄື່ອງມືທີ່ໃຊ້ໃນການໂຈມຕີແມ່ນສັນຍານເຕືອນຂອງກິດຈະກໍາທີ່ບໍ່ຕ້ອງການ. ຕົວຢ່າງ, ການວິເຄາະເຫດການຄວາມປອດໄພພົບວ່າສະຄຣິບຖືກສັງເກດເຫັນໃນປີ 2021 PowerShell ແລະສະຄຣິບທີ່ເປັນອັນຕະລາຍທີ່ບໍ່ແມ່ນ PowerShell ຮ່ວມກັນ 64% ຂອງເວລາ; PowerShell ແລະ Cobalt Strike ຮ່ວມກັນໃນ 56% ຂອງກໍລະນີ; ແລະ PowerShell ແລະ PsExec ຮ່ວມກັນໃນ 51% ຂອງກໍລະນີ. ການກວດຫາຄວາມສຳພັນດັ່ງກ່າວສາມາດເປັນການເຕືອນລ່ວງໜ້າຂອງການໂຈມຕີທີ່ກຳລັງຈະເກີດຂຶ້ນ ຫຼືເປັນການຢືນຢັນການໂຈມຕີທີ່ກຳລັງດຳເນີນຢູ່.

• 50% ຂອງເຫດການ ransomware ທີ່ສັງເກດເຫັນກ່ຽວຂ້ອງກັບການຂູດຂໍ້ມູນ - ແລະດ້ວຍຂໍ້ມູນທີ່ມີຢູ່, ໄລຍະເວລາສະເລ່ຍລະຫວ່າງການລັກຂໍ້ມູນແລະການເປີດໃຊ້ ransomware ແມ່ນ 4,28 ມື້. 73% ຂອງເຫດການທີ່ Sophos ແຊກແຊງໃນປີ 2021 ກ່ຽວຂ້ອງກັບກໍລະນີຂອງ ransomware. ໃນນັ້ນ, 50% ຍັງກ່ຽວຂ້ອງກັບການຂູດຂໍ້ມູນ. ການຂູດຂີ້ເຫຍື້ອມັກຈະເປັນຂັ້ນຕອນສຸດທ້າຍຂອງການໂຈມຕີກ່ອນທີ່ ransomware ຈະຖືກເປີດໃຊ້, ແລະການວິເຄາະເຫດການໄດ້ຄິດໄລ່ໄລຍະເວລາສະເລ່ຍລະຫວ່າງສອງເຫດການຂອງ 4,28 ມື້ກັບຄ່າສະເລ່ຍຂອງ 1,84 ມື້.

• Conti ມັນແມ່ນ gang ໄດ້ ransomware ທີ່ມີການຂະຫຍາຍຕົວຫຼາຍທີ່ສຸດໃນບັນດາຜູ້ທີ່ສັງເກດເຫັນໃນປີ 2021, ຮັບຜິດຊອບສໍາລັບ 18% ຂອງເຫດການໂດຍລວມ. ransomware ໄດ້ ຜີຮ້າຍ ມີສ່ວນຮ່ວມ 1 ໃນ 10 ເຫດການ, ໃນຂະນະທີ່ຄອບຄົວ ransomware ທີ່ແຜ່ຂະຫຍາຍອື່ນໆ ດ້ານ​ມືດ, RaaS ມີຄວາມຜິດໃນການໂຈມຕີທໍ່ສົ່ງ Colonial ໃນສະຫະລັດ, e Black King Dom, ຫນຶ່ງໃນຄອບຄົວ "ໃຫມ່" ຂອງ ransomware ທີ່ປາກົດໃນເດືອນມີນາ 2021 ຫລັງຈາກມີຊ່ອງໂຫວ່ ProxyLogon. 41 ຜູ້ປະກອບການ ransomware ທີ່ແຕກຕ່າງກັນໄດ້ຖືກລະບຸໄວ້ໃນ 144 ເຫດການທີ່ກວມເອົາໂດຍການວິເຄາະ; ​ໃນ​ນັ້ນ, 28 ກຸ່ມ​ແມ່ນ​ກຸ່ມ​ໃໝ່​ທີ່​ເກີດ​ຂຶ້ນ​ຄັ້ງ​ທຳ​ອິດ​ໃນ​ປີ 2021. 2020 ກຸ່ມ​ທີ່​ຮັບຜິດຊອບ​ອຸປະຕິ​ເຫດ​ໃນ​ປີ 2021 ຫາຍ​ສາບ​ສູນ​ໄປ​ຈາກ​ບັນຊີ​ລາຍ​ຊື່​ປີ XNUMX.

Shier ອະທິບາຍວ່າ "ສັນຍານທີ່ຄວນເຕືອນຜູ້ຈັດການຄວາມປອດໄພ IT ປະກອບມີການກວດພົບເຄື່ອງມື, ການປະສົມປະສານຂອງເຄື່ອງມືຫຼືກິດຈະກໍາຢູ່ໃນຈຸດທີ່ບໍ່ຄາດຄິດໃນເຄືອຂ່າຍຫຼືໃນເວລາທີ່ບໍ່ຄາດຄິດ," Shier ອະທິບາຍ. "ມັນຄຸ້ມຄ່າທີ່ຈະຈື່ໄວ້ວ່າອາດຈະມີເວລາຂອງກິດຈະກໍາຫນ້ອຍຫຼືບໍ່ມີ, ແຕ່ນັ້ນບໍ່ໄດ້ຫມາຍຄວາມວ່າບໍລິສັດບໍ່ໄດ້ຖືກ hacked. ຕົວຢ່າງເຊັ່ນ, ມີການລະເມີດ ProxyLogon ຫຼື ProxyShell ຫຼາຍກວ່າທີ່ຮູ້ໃນປັດຈຸບັນ, ບ່ອນທີ່ web shells ແລະ backdoors ໄດ້ຖືກຕິດຕັ້ງເພື່ອໃຫ້ເຂົ້າເຖິງຢ່າງຕໍ່ເນື່ອງແລະປະຈຸບັນຍັງຄົງບໍ່ມີການເຄື່ອນໄຫວຈົນກ່ວາການເຂົ້າເຖິງຖືກນໍາໃຊ້ຫຼືຂາຍຕໍ່ໃຫ້ຜູ້ອື່ນ. Patches ຈໍາເປັນຕ້ອງໄດ້ຖືກນໍາໃຊ້ເພື່ອແກ້ໄຂຂໍ້ບົກພ່ອງທີ່ສໍາຄັນ, ໂດຍສະເພາະໃນຊອບແວທີ່ນິຍົມແລະ, ເປັນບູລິມະສິດ, ເສີມສ້າງຄວາມປອດໄພຂອງການບໍລິການການເຂົ້າເຖິງຫ່າງໄກສອກຫຼີກ. ຈົນ​ກວ່າ​ຈຸດ​ເຂົ້າ​ທີ່​ເປີດ​ເຜີຍ​ຈະ​ປິດ​ລົງ ແລະ​ທຸກ​ສິ່ງ​ທຸກ​ຢ່າງ​ທີ່​ຜູ້​ໂຈມ​ຕີ​ໄດ້​ເຮັດ​ເພື່ອ​ສ້າງ​ຕັ້ງ​ແລະ​ຮັກ​ສາ​ການ​ເຂົ້າ​ເຖິງ​ຖືກ​ລົບ​ລ້າງ, ທຸກ​ຄົນ​ຈະ​ສາ​ມາດ​ເຂົ້າ​ໄປ​ນຳ​ເຂົາ​ເຈົ້າ, ແລະ​ອາດ​ຈະ​ເປັນ”.

ການສຶກສາ Sophos Active Adversary Playbook 2022 ແມ່ນອີງໃສ່ 144 ເຫດການທີ່ເກີດຂຶ້ນໃນປີ 2021 ໃນບໍລິສັດທຸກຂະໜາດ ແລະພາກທຸລະກິດທີ່ຕັ້ງຢູ່ໃນປະເທດຕໍ່ໄປນີ້: ສະຫະລັດ, ການາດາ, ອັງກິດ, ເຢຍລະມັນ, ອີຕາລີ, ສະເປນ, ຝຣັ່ງ, ສະວິດເຊີແລນ, ແບນຊິກ, ເນເທີແລນ, ອອສເຕຣຍ, ສະຫະລັດອາຣັບເອມີເຣດ, Saudi Arabia, ຟີລິບປິນ, Bahamas, Angola ແລະຍີ່ປຸ່ນ.

ພາກສ່ວນທີ່ເປັນຕົວແທນຫຼາຍທີ່ສຸດແມ່ນອຸດສາຫະກໍາ (17%), ຂາຍຍ່ອຍ (14%), ສຸຂະພາບ (13%), IT (9%), ການກໍ່ສ້າງ (8%) ແລະໂຮງຮຽນ (6%).

ເປົ້າຫມາຍຂອງບົດລາຍງານ Sophos ແມ່ນເພື່ອຊ່ວຍໃຫ້ຜູ້ຈັດການດ້ານຄວາມປອດໄພທາງອິນເຕີເນັດເຂົ້າໃຈສິ່ງທີ່ສັດຕູຂອງເຂົາເຈົ້າກໍາລັງເຮັດໃນລະຫວ່າງການໂຈມຕີແລະວິທີການກວດສອບແລະປົກປ້ອງຕົນເອງຈາກກິດຈະກໍາທີ່ເປັນອັນຕະລາຍທີ່ແຜ່ລາມຢູ່ໃນເຄືອຂ່າຍ. ສໍາລັບຂໍ້ມູນເພີ່ມເຕີມກ່ຽວກັບພຶດຕິກໍາ, ເຄື່ອງມື ແລະເຕັກນິກຂອງອາຊະຍາກໍາທາງອິນເຕີເນັດ, ເບິ່ງ Sophos Active Adversary Playbook 2022 ໃນ Sophos News.