Sophos Active Adversary Playbook 2022 च्या संशोधनात असे दिसून आले आहे की सायबर गुन्हेगारांच्या त्यांच्या पीडितांच्या नेटवर्कमध्ये राहण्याचा कालावधी 36% वाढला आहे

ही वाढ प्रामुख्याने ProxyLogon आणि ProxyShell भेद्यतेशी संबंधित आहे आणि प्रारंभिक प्रवेश ब्रोकर्स जे हॅक केलेल्या नेटवर्कचा प्रवेश सायबर गुन्हेगारांना पुनर्विक्री करतात. बाह्य प्रवेशासाठी रिमोट डेस्कटॉप प्रोटोकॉलचा वापर कमी करूनही, आक्रमणकर्त्यांनी प्रभावित नेटवर्कमधील अंतर्गत बाजूच्या हालचालीसाठी या साधनाचा वापर वाढविला आहे.

सोफोस, पुढच्या पिढीतील सायबरसुरक्षा क्षेत्रातील जागतिक नेता, आज प्रकाशित "सक्रिय विरोधी प्लेबुक 2022 ", il report che riassume i comportamenti cybercriminali osservati sul campo dal team Rapid Response di Sophos nel corso del 2021.

संशोधनातून समोर आलेला डेटा ए 36 मध्ये प्रभावित प्रणालींमध्ये सायबर गुन्हेगार राहण्याच्या वेळेत 2021% वाढ झाली आहे 15 मध्ये 11 च्या तुलनेत 2020 दिवसांच्या मध्यासह.

अहवालात मायक्रोसॉफ्ट एक्स्चेंजमधील प्रॉक्सीशेल असुरक्षिततेच्या प्रभावावर देखील प्रकाश टाकला आहे, ज्याचा सोफॉसचा विश्वास आहे की काही इनिशियल ऍक्सेस ब्रोकर्स (IAB) द्वारे नेटवर्कचे उल्लंघन करण्यासाठी शोषण केले जाते आणि नंतर त्यांचा प्रवेश इतरांना पुन्हा विकला जातो.

"सायबर गुन्ह्यांचे जग आश्चर्यकारकपणे वैविध्यपूर्ण आणि विशेष बनले आहे. द प्रारंभिक प्रवेश दलाल (जे सायबर क्राईम उद्योगाला कॉर्पोरेट आयटी सिस्टीममध्ये प्रवेश प्रदान करतात) एक वास्तविक उद्योग विकसित केला आहे जो लक्ष्यात हॅक करतो, त्याचे आयटी वातावरण एक्सप्लोर करतो किंवा बॅकडोअर स्थापित करतो आणि नंतर त्याच्याशी व्यवहार करणार्‍या टोळ्यांना प्रवेश पुन्हा विकतो. ransomware जॉन शिअर, सोफोसचे वरिष्ठ सुरक्षा सल्लागार स्पष्ट करतात. “या वाढत्या गतिमान आणि विशेष परिस्थितीमध्ये, सायबर गुन्हेगारांद्वारे वापरल्या जाणार्‍या साधनांच्या आणि पद्धतींच्या उत्क्रांतीशी ताळमेळ राखणे कंपन्यांसाठी कठीण होऊ शकते. आक्रमण क्रमाच्या प्रत्येक टप्प्यावर काय पहावे हे बचावकर्त्याला माहित असणे आवश्यक आहे, जेणेकरून ते शक्य तितक्या लवकर उल्लंघनाचे प्रयत्न शोधू शकतील आणि निष्प्रभ करू शकतील”.

सोफॉस संशोधन हे देखील दर्शविते की घुसखोरांच्या निवासाची वेळ कॉर्पोरेट आयटी वातावरणात बहुतेकांपेक्षा जास्त असते लहान: 51 ते 250 कर्मचारी असलेल्यांमध्ये 20 दिवसांच्या तुलनेत 3.000 पर्यंत कर्मचार्‍यांसह प्रत्यक्षात सुमारे 5.000 दिवस.

“सायबर गुन्हेगार मोठ्या कंपन्यांवर जास्त मूल्य ठेवतात, म्हणून ते प्रवेश करण्यास, त्यांना जे करायचे आहे ते करण्यासाठी आणि नंतर बाहेर पडण्यासाठी अधिक प्रवृत्त होतात. छोट्या कंपन्यांचे 'मूल्य' कमी असते, त्यामुळे हल्लेखोर अधिक काळ नेटवर्कमध्ये राहणे परवडतात. हे देखील शक्य आहे की या प्रकरणांमध्ये हल्लेखोर कमी अनुभवी आहेत आणि म्हणून नेटवर्कमध्ये एकदा काय करावे हे शोधण्यासाठी अधिक वेळ लागतो. लहान व्यवसायांमध्ये देखील सामान्यत: हल्ल्याच्या अनुक्रमांमध्ये कमी दृश्यमानता असते आणि परिणामी उल्लंघन शोधणे आणि निष्प्रभावी करणे कठीण असते, अशा प्रकारे सायबर गुन्हेगारांची उपस्थिती लांबणीवर टाकते, ”शियर टिप्पणी करतात. “उत्पन्न न झालेल्या ProxyLogon आणि ProxyShell असुरक्षा आणि इनिशियल ऍक्सेस ब्रोकर्सच्या प्रसारामुळे उद्भवलेल्या संधींसह, आम्ही एकाच पीडितामध्ये अनेक हल्लेखोरांची तपासणी करत आहोत. जर नेटवर्कमध्ये अधिक गुन्हेगार असतील, तर त्यांच्यापैकी प्रत्येकाला वेळेवर स्पर्धा जिंकण्यासाठी शक्य तितक्या लवकर कृती करण्याची इच्छा असेल ”.

समोर आलेल्या सर्वात संबंधित डेटापैकी, खालील गोष्टी लक्षात घेतल्या पाहिजेत:

रॅन्समवेअर सारख्या उघड हल्ल्यांना चालना न देणार्‍या चोरट्या घुसखोरींसाठी आणि आयटी सुरक्षा संसाधने कमी असलेल्या छोट्या व्यवसायांसाठी आणि लहान व्यवसाय विभागांसाठी सायबर गुन्हेगारांचा शोध लागण्यापूर्वी राहण्याची सरासरी कालावधी जास्त आहे. रॅन्समवेअरने प्रभावित कंपन्यांमधील निवासाच्या वेळेचे सरासरी मूल्य आहे 11 दिवस झाले. मध्ये रॅन्समवेअर (विश्लेषित सर्व घटनांपैकी 23%) सारख्या स्पष्ट हल्ल्यांनंतर न झालेल्या उल्लंघनाची प्रकरणे, मध्य 34 दिवसांचा होता. शालेय क्षेत्राशी संबंधित किंवा 500 पेक्षा कमी कर्मचारी असलेले वास्तव यापेक्षा जास्त काळ राहण्याची नोंद केली आहे.

जास्त काळ राहण्याची वेळ आणि खुल्या प्रवेश बिंदूंमुळे कंपन्यांना अनेक हल्ल्यांचा सामना करावा लागतो. अशा प्रकरणांचे पुरावे आहेत जेव्हा एकाच कंपनीवर अनेक प्रतिस्पर्ध्यांकडून हल्ले झाले होते जसे की IAB, आर मध्ये खास टोळ्या ansomware, क्रिप्टोमायनर्स आणि कधीकधी अगदी ऑपरेटर एकाधिक रॅन्समवेअरशी जोडलेले असतात.

बाह्य प्रवेशासाठी रिमोट डेस्कटॉप प्रोटोकॉल (RDP) चा वापर कमी झाला असूनही, हल्लेखोरांनी अंतर्गत बाजूच्या हालचालींच्या हेतूंसाठी त्याचा वापर वाढवला आहे. 2020 मध्ये, विश्लेषण केलेल्या 32% प्रकरणांमध्ये RDP बाह्य क्रियाकलापांसाठी वापरला गेला, 13 मध्ये हा आकडा 2021% पर्यंत घसरला. हा बदल स्वागतार्ह आहे आणि कंपन्यांद्वारे बाह्य हल्ल्याच्या पृष्ठभागाचे उत्तम व्यवस्थापन सुचवत असताना, सायबर गुन्हेगार त्यांच्या अंतर्गत बाजूच्या हालचालींसाठी RDP चा गैरवापर करत आहेत. 82 मध्ये विश्लेषण केलेल्या 2021% प्रकरणांमध्ये अंतर्गत बाजूच्या हालचालींसाठी RDP चा वापर झाल्याचे सोफॉसला आढळून आले. च्या विरुद्ध 69% अगोदर निर्देश केलेल्या बाबीसंबंधी बोलताना 2020

हल्ला करण्यासाठी वापरल्या जाणार्‍या साधनांचे सामान्य संयोजन हे अवांछित क्रियाकलापांचे चेतावणी चिन्ह आहे. उदाहरणार्थ, 2021 मध्ये स्क्रिप्ट पाहिल्या गेल्या असे सुरक्षा घटना विश्लेषणात आढळले पॉवरशेल आणि पॉवरशेल नसलेल्या दुर्भावनापूर्ण स्क्रिप्ट्स 64% वेळा एकत्र; पॉवरशेल आणि कोबाल्ट स्ट्राइक एकत्रितपणे 56% मध्ये प्रकरणांपैकी; आणि PowerShell आणि PsExec 51% प्रकरणांमध्ये एकत्र. अशा परस्परसंबंधांचा शोध हा येऊ घातलेल्या हल्ल्याची पूर्व चेतावणी किंवा प्रगतीपथावर असलेल्या हल्ल्याची पुष्टी म्हणून काम करू शकतो.

50% निरीक्षण केलेल्या रॅन्समवेअर घटनांमध्ये डेटा एक्सफिल्टेशनचा समावेश आहे - आणि उपलब्ध डेटासह, डेटा चोरी आणि रॅन्समवेअर सक्रियकरण दरम्यान सरासरी अंतर 4,28 दिवस होता. 73 मध्ये ज्या घटनांमध्ये सोफॉसने हस्तक्षेप केला त्यापैकी 2021% घटनांमध्ये रॅन्समवेअरचा समावेश होता. यापैकी 50% डेटा उत्सर्जनाचा देखील समावेश आहे. रॅन्समवेअर सक्रिय होण्यापूर्वी एक्सफिल्टेशन हा हल्ल्याचा शेवटचा टप्पा असतो आणि घटना विश्लेषणाने 4,28 दिवसांच्या मध्यासह 1,84 दिवसांच्या दोन घटनांमधील सरासरी अंतराची गणना केली.

कोन्टी ती टोळी होती 2021 मध्ये आढळलेल्यांपैकी सर्वात विपुल रॅन्समवेअर, एकूण घटनांपैकी 18% साठी जबाबदार. रॅन्समवेअर रेव्हिल 1 पैकी 10 घटनांचा समावेश आहे, तर इतर व्यापक रॅन्समवेअर कुटुंबे होती काळी बाजू, यूएसए मधील वसाहती पाइपलाइनवरील हल्ल्यासाठी RaaS दोषी, ई ब्लॅक किंगडम, ransomware च्या "नवीन" कुटुंबांपैकी एक जे मार्च 2021 मध्ये ProxyLogon भेद्यतेच्या पार्श्वभूमीवर दिसून आले. विश्लेषणामध्ये समाविष्ट केलेल्या 41 घटनांमध्ये 144 भिन्न रॅन्समवेअर ऑपरेटर ओळखले गेले; यापैकी 28 नवीन गट आहेत जे 2021 मध्ये पहिल्यांदा उदयास आले. 2020 मधील अपघातांसाठी जबाबदार असलेल्या अठरा टोळ्या 2021 च्या यादीतून गायब झाल्या

"आयटी सुरक्षा व्यवस्थापकांना सूचना देणार्‍या चिन्हांमध्ये नेटवर्कवर अनपेक्षित बिंदूवर किंवा अनपेक्षित क्षणी साधन शोधणे, साधने किंवा क्रियाकलापांचे संयोजन समाविष्ट आहे," शियर स्पष्ट करतात. “हे लक्षात ठेवण्यासारखे आहे की काही वेळा कमी किंवा कोणतेही क्रियाकलाप असू शकतात, परंतु याचा अर्थ असा नाही की कंपनी हॅक झाली नाही. उदाहरणार्थ, सध्या ज्ञात आहे त्यापेक्षा बरेच अधिक ProxyLogon किंवा ProxyShell उल्लंघने आहेत, जिथे वेब शेल आणि बॅकडोअर्स सतत प्रवेश मिळविण्यासाठी स्थापित केले गेले आहेत आणि जे सध्या प्रवेश वापरला जाईपर्यंत किंवा इतरांना पुनर्विक्री होईपर्यंत निष्क्रिय राहतात. गंभीर दोषांचे निराकरण करण्यासाठी पॅचेस लागू करणे आवश्यक आहे, विशेषतः लोकप्रिय सॉफ्टवेअरमध्ये आणि प्राधान्य म्हणून, रिमोट ऍक्सेस सेवांची सुरक्षा मजबूत करणे. जोपर्यंत उघडलेले एंट्री पॉइंट बंद होत नाहीत आणि हल्लेखोरांनी प्रवेश स्थापित करण्यासाठी आणि राखण्यासाठी जे काही केले ते नष्ट होत नाही तोपर्यंत, कोणीही त्यांच्यासोबत प्रवेश करू शकेल आणि कदाचित होईल”.

Sophos Active Adversary Playbook 2022 चा अभ्यास 144 मध्ये खालील देशांमध्ये असलेल्या सर्व आकारांच्या आणि व्यावसायिक क्षेत्रातील कंपन्यांमध्ये घडलेल्या 2021 घटनांवर आधारित आहे: यूएसए, कॅनडा, यूके, जर्मनी, इटली, स्पेन, फ्रान्स, स्वित्झर्लंड, बेल्जियम, नेदरलँड्स , ऑस्ट्रिया, संयुक्त अरब अमिराती, सौदी अरेबिया, फिलीपिन्स, बहामास, अंगोला आणि जपान.

उद्योग (17%), किरकोळ (14%), आरोग्यसेवा (13%), IT (9%), बांधकाम (8%) आणि शाळा (6%) हे सर्वाधिक प्रतिनिधित्व केलेले क्षेत्र आहेत.

Sophos अहवालाचे उद्दिष्ट हे आहे की सायबरसुरक्षा व्यवस्थापकांना त्यांचे शत्रू हल्ले दरम्यान काय करत आहेत आणि नेटवर्कवर फिरत असलेल्या दुर्भावनापूर्ण क्रियाकलापांपासून स्वतःचे संरक्षण कसे करावे हे समजून घेण्यात मदत करणे. सायबर गुन्हेगारांच्या वर्तन, साधने आणि तंत्रांबद्दल अधिक माहितीसाठी, Sophos News वर Sophos Active Adversary Playbook 2022 पहा.