„Sophos Active Adversary Playbook 2022“ tyrimas atskleidžia, kad kibernetinių nusikaltėlių „gyvenimo laikas savo aukų tinkluose“ padidėjo 36 proc.

"Sophos", pasaulinė naujos kartos kibernetinio saugumo lyderė, šiandien paskelbė "„Active Adversary Playbook 2022“, il report che riassume i comportamenti cybercriminali osservati sul campo dal team Rapid Response di Sophos nel corso del 2021.

Tyrimo metu gauti duomenys rodo, kad a 36 m. 2021 proc. pailgėjo kibernetinių nusikaltėlių buvimo paveiktose sistemose laikas vidutiniškai 15 dienų, palyginti su 11 2020 m.

Ataskaitoje taip pat pabrėžiamas „Microsoft Exchange“ „ProxyShell“ pažeidžiamumų poveikis, kurį, „Sophos“ nuomone, naudoja kai kurie pradinės prieigos tarpininkai (IAB), siekdami pažeisti tinklus ir perparduoti savo prieigą kitiems.

„Kibernetinių nusikaltimų pasaulis tapo neįtikėtinai įvairus ir specializuotas. The Pradinės prieigos tarpininkas (kurie suteikia elektroninių nusikaltimų pramonei prieigą prie įmonių IT sistemų) sukūrė tikrą pramonę, kuri įsilaužia į taikinį, tyrinėja jos IT aplinką arba įdiegia užpakalines duris ir perparduoda prieigą su tuo užsiimančioms gaujoms. Ransomware aiškina Johnas Shieris, Sophos vyresnysis patarėjas saugumo klausimais. „Šiame vis labiau dinamiškesniame ir specializuotame scenarijuje įmonėms gali būti sunku neatsilikti nuo kibernetinių nusikaltėlių naudojamų įrankių ir metodų evoliucijos. Labai svarbu, kad gynėjas žinotų, ko ieškoti kiekviename atakų sekos etape, kad galėtų kuo greičiau aptikti ir neutralizuoti bandymus prasižengti.

„Sophos“ tyrimai taip pat rodo, kad įsibrovėlių buvimo laikas įmonių IT aplinkoje yra ilgesnis nei daugelio kitų mažas: realiai apie 51 dieną, kai dirba iki 250 darbuotojų, o 20 dienų dirbantiems nuo 3.000 5.000 iki XNUMX XNUMX darbuotojų.

„Kibernetiniai nusikaltėliai labiau vertina didesnes įmones, todėl jie yra labiau motyvuoti prisijungti, daryti tai, ką turi padaryti, o tada išeiti. Mažesnės įmonės turi mažesnę suvokiamą „vertę“, todėl užpuolikai gali sau leisti likti tinkle ilgesnį laiką. Taip pat gali būti, kad tokiais atvejais užpuolikai yra mažiau patyrę, todėl užtrunka daugiau laiko išsiaiškinti, ką daryti, patekę į tinklą. Mažos įmonės taip pat paprastai mažiau mato atakų sekas, todėl joms sunkiau aptikti ir neutralizuoti pažeidimus, todėl pailgėja kibernetinių nusikaltėlių buvimas“, – komentuoja Shier. „Dėl neišspręstų „ProxyLogon“ ir „ProxyShell“ pažeidžiamumų bei pradinės prieigos brokerių plitimo kylančių galimybių vis dažniau tikriname, ar toje pačioje aukoje nėra kelių užpuolikų. Jei tinkle yra daugiau nusikaltėlių, kiekvienas iš jų norės veikti kuo greičiau, kad laiku įveiktų konkurentus “.

 Tarp svarbiausių gautų duomenų reikėtų pažymėti:

• Vidutinė trukmė, kurią kibernetiniai nusikaltėliai išbūna, kol bus aptikti, yra ilgesnė už slaptus įsilaužimus, kurie nesukelia atvirų atakų, pvz., išpirkos reikalaujančių programų, ir mažoms įmonėms bei mažesniems verslo segmentams, turintiems mažiau IT saugos išteklių. Vidutinė buvimo laiko vertė įmonėse, paveiktose išpirkos reikalaujančios programos, yra praėjo 11 dienų. Į pažeidimų, po kurių nebuvo akivaizdžių atakų, pvz., išpirkos reikalaujančių programų (23 % visų analizuotų incidentų), mediana buvo 34 dienos. Mokyklų sektoriui priklausančios ar mažiau nei 500 darbuotojų turinčios realybės užfiksavo dar ilgesnį gyvenimo trukmę.

• Ilgesnis laukimo laikas ir atviri prieigos taškai palieka įmonėms daugybę atakų. Buvo atvejų, kai tą pačią įmonę užpuolė keli priešai, pvz., IAB, gaujos, besispecializuojančios ransomware, kriptovaliutų ieškotojai ir kartais net operatoriai, susieti su keliomis išpirkos programomis.

• Nepaisant to, kad sumažėjo nuotolinio darbalaukio protokolo (RDP) naudojimas išorinei prieigai, užpuolikai padidino jo naudojimą vidaus šoninio judėjimo tikslais. 2020 metais KPP išorinei veiklai buvo panaudota 32 proc. 13 m. šis skaičius sumažėjo iki 2021 proc. Nors šis pakeitimas yra sveikintinas ir siūlo geresnį įmonių išorinių atakų paviršių valdymą, kibernetiniai nusikaltėliai ir toliau piktnaudžiauja KPP savo vidiniams šoniniams judėjimams. „Sophos“ nustatė, kad KPP naudojimas vidiniams šoniniams judesiams įvyko 82% 2021 m. prieš 69% del 2020

• Įprasti atakavimui naudojamų įrankių deriniai yra įspėjamasis nepageidaujamos veiklos ženklas. Pavyzdžiui, saugumo incidentų analizės metu nustatyta, kad scenarijai buvo pastebėti 2021 m Kenkėjiški „PowerShell“ ir ne „PowerShell“ scenarijai kartu 64 % atvejų; „PowerShell“ ir „Cobalt Strike“ kartu 56 proc. atvejų; Ir „PowerShell“ ir „PsExec“ kartu 51% atvejų. Tokių koreliacijų aptikimas gali būti ankstyvas įspėjimas apie artėjančią ataką arba vykstančios atakos patvirtinimas.

• 50 % pastebėtų išpirkos reikalaujančių incidentų buvo susiję su duomenų išfiltravimu, o esant turimiems duomenims, vidutinis intervalas tarp duomenų vagystės ir išpirkos reikalaujančių programų aktyvinimo buvo 4,28 dienos. 73 % incidentų, į kuriuos 2021 m. įsikišo Sophos, buvo susiję su išpirkos reikalaujančiomis programomis. 50% iš jų taip pat buvo susiję su duomenų išfiltravimu. Eksfiltracija dažnai yra paskutinis atakos etapas prieš suaktyvinant išpirkos reikalaujančią programinę įrangą, o incidentų analizė apskaičiavo, kad vidutinis intervalas tarp dviejų įvykių yra 4,28 dienos, o mediana yra 1,84 dienos.

• Conti " tai buvo gauja 2021 m. pastebėta daugiausia išpirkos reikalaujančių programų, kurios sukėlė 18 % visų incidentų. Išpirkos reikalaujanti programa Piktas įvyko 1 iš 10 incidentų, o kitos plačiai paplitusios išpirkos reikalaujančios programos Tamsioji pusė, RaaS kaltas dėl kolonijinio vamzdyno atakos JAV, el Juodoji karalystė, viena iš „naujųjų“ išpirkos reikalaujančių programų šeimų, atsiradusių 2021 m. kovo mėn. po „ProxyLogon“ pažeidžiamumo. 41 skirtingas išpirkos reikalaujančių programų operatorius buvo nustatytas per 144 analizėje nurodytus incidentus; iš jų 28 yra naujos grupės, kurios pirmą kartą atsirado 2021 m. Aštuoniolika gaujų, atsakingų už avarijas 2020 m., dingo iš 2021 m. sąrašo

„Ženklai, kurie turėtų įspėti IT saugos vadybininkus, apima įrankio aptikimą, įrankių derinį arba veiklą netikėtame tinklo taške arba netikėtu momentu“, – aiškina Shier. „Verta atsiminti, kad kartais veiklos gali būti mažai arba visai nevykdomos, tačiau tai nereiškia, kad į įmonę nebuvo įsilaužta. Tikėtina, kad, pavyzdžiui, yra daug daugiau „ProxyLogon“ arba „ProxyShell“ pažeidimų, nei žinoma šiuo metu, kai buvo įdiegti žiniatinklio apvalkalai ir užpakalinės durys, siekiant gauti nuolatinę prieigą, ir kurios šiuo metu lieka neaktyvios, kol prieiga nebus naudojama arba perparduota kitiems. Reikia pritaikyti pataisas, kad būtų ištaisytos kritinės klaidos, ypač populiarioje programinėje įrangoje, ir, svarbiausia, sustiprinti nuotolinės prieigos paslaugų saugumą. Kol nebus uždaryti atviri įėjimo taškai ir nebus išnaikinta viskas, ką užpuolikai padarė siekdami sukurti ir palaikyti prieigą, visi galės su jais įeiti ir tikriausiai tai padarys “.

„Sophos Active Adversary Playbook 2022“ tyrimas pagrįstas 144 incidentais, įvykusiais 2021 m. įvairaus dydžio ir verslo sektorių įmonėse, esančiose šiose šalyse: JAV, Kanadoje, JK, Vokietijoje, Italijoje, Ispanijoje, Prancūzijoje, Šveicarijoje, Belgijoje, Nyderlanduose, Austrija, Jungtiniai Arabų Emyratai, Saudo Arabija, Filipinai, Bahamos, Angola ir Japonija.

Daugiausia atstovaujama pramonės (17 proc.), mažmeninės prekybos (14 proc.), sveikatos priežiūros (13 proc.), IT (9 proc.), statybos (8 proc.) ir mokyklų (6 proc.) sektoriams.

„Sophos“ ataskaitos tikslas – padėti kibernetinio saugumo vadovams suprasti, ką jų priešai veikia per atakas ir kaip aptikti tinkle plintančią kenkėjišką veiklą ir apsisaugoti nuo jos. Norėdami gauti daugiau informacijos apie kibernetinių nusikaltėlių elgesį, įrankius ir metodus, žr. „Sophos Active Adversary Playbook 2022“ „Sophos News“.