Sophos Active Adversary Playbook 2022 පර්යේෂණයෙන් හෙළි වන්නේ සයිබර් අපරාධකරුවන්ගේ 'ඔවුන්ගේ වින්දිතයින්ගේ' ජාලවල පදිංචි කාලය 36% කින් වැඩි වී ඇති බවයි

සොෆොස් සමාගම්, මීළඟ පරම්පරාවේ සයිබර් ආරක්ෂණයේ ගෝලීය ප්‍රමුඛයා, අද ප්‍රකාශයට පත් කරන ලදී "ක්‍රියාකාරී එදිරිවාදී ක්‍රීඩා පොත 2022 ", il report che riassume i comportamenti cybercriminali osservati sul campo dal team Rapid Response di Sophos nel corso del 2021.

පර්යේෂණයෙන් මතු වූ දත්ත පෙන්වා දෙන්නේ ඒ 36 දී සයිබර් අපරාධකරුවන් බලපෑමට ලක් වූ පද්ධති තුළ රැඳී සිටින කාලයෙහි 2021% වැඩි වීම 15 හි 11 ට සාපේක්ෂව දින 2020 ක මධ්යන්යයක් සමඟ.

Microsoft Exchange තුළ ProxyShell දුර්වලතා වල බලපෑම ද වාර්තාව ඉස්මතු කරයි, Sophos විශ්වාස කරන පරිදි සමහර ආරම්භක ප්‍රවේශ තැරැව්කරුවන් (IABs) විසින් ජාල උල්ලංඝනය කර පසුව ඔවුන්ගේ ප්‍රවේශය වෙනත් අයට විකිණීමට යොදා ගනී.

“සයිබර් අපරාධ ලෝකය ඇදහිය නොහැකි තරම් විවිධ සහ විශේෂිත වී ඇත. එම මූලික ප්‍රවේශ තැරැව්කරු (සයිබර් අපරාධ කර්මාන්තයට ආයතනික තොරතුරු තාක්ෂණ පද්ධති වෙත ප්‍රවේශය ලබා දෙන) ඉලක්කයකට අනවසරයෙන් ඇතුළු වන, එහි තොරතුරු තාක්ෂණ පරිසරය ගවේෂණය කරන හෝ පසුබිම් දොරක් ස්ථාපනය කරන සැබෑ කර්මාන්තයක් සංවර්ධනය කර ඇත, පසුව එය සමඟ ගනුදෙනු කරන කල්ලි වෙත ප්‍රවේශය නැවත අලෙවි කරයි. ransomware ජෝන් ෂියර්, Sophos ජ්යෙෂ්ඨ ආරක්ෂක උපදේශක පැහැදිලි කරයි. “මෙම වඩ වඩාත් ගතික සහ විශේෂිත තත්ත්වය තුළ, සයිබර් අපරාධකරුවන් විසින් භාවිතා කරන මෙවලම් සහ ප්‍රවේශයන් වල පරිණාමය සමඟ සමාගම්වලට වේගයෙන් ගමන් කිරීම දුෂ්කර විය හැකිය. ප්‍රහාරක අනුපිළිවෙලෙහි සෑම අදියරකදීම සෙවිය යුතු දේ ආරක්ෂකයා දැන සිටීම අත්‍යවශ්‍ය වේ, එවිට ඔවුන්ට හැකි ඉක්මනින් කඩ කිරීමේ උත්සාහයන් හඳුනාගෙන උදාසීන කළ හැකිය ”.

ආයතනික තොරතුරු තාක්ෂණ පරිසරයන් තුළ අනවසරයෙන් ඇතුළුවන්නන්ගේ පදිංචි කාලය බොහෝ දෙනෙකුට වඩා දිගු බව Sophos පර්යේෂණයෙන් ද පෙන්නුම් කෙරේ කුඩා: 51 සිට 250 දක්වා සේවකයින් සිටින අයගේ දින 20 ට එරෙහිව සේවකයින් 3.000 ක් දක්වා ඇත්ත වශයෙන්ම දින 5.000 ක් පමණ වේ.

“සයිබර් අපරාධකරුවන් විශාල සමාගම් සඳහා ඉහළ වටිනාකමක් ලබා දෙයි, එබැවින් ඔවුන් ඇතුළට යාමට, ඔවුන් කළ යුතු දේ කිරීමට සහ පසුව පිටතට යාමට වඩාත් පෙළඹේ. කුඩා සමාගම්වලට අඩු 'අගය' ඇත, එබැවින් ප්‍රහාරකයින්ට වැඩි කාලයක් ජාලය තුළ රැඳී සිටීමට හැකි වේ. මෙම අවස්ථා වලදී ප්‍රහාරකයන් අඩු පළපුරුද්දක් ඇති බැවින් ජාලය තුළ එක් වරක් කළ යුතු දේ සොයා ගැනීමට වැඩි කාලයක් ගත විය හැකිය. කුඩා ව්‍යාපාරවලට සාමාන්‍යයෙන් ප්‍රහාරක අනුපිළිවෙලවල්වල දෘශ්‍යතාව අඩු වන අතර එහි ප්‍රතිඵලයක් ලෙස උල්ලංඝනයන් හඳුනා ගැනීම සහ උදාසීන කිරීම දුෂ්කර වන අතර එමඟින් සයිබර් අපරාධකරුවන්ගේ පැමිණීම දිගු වේ, ”ෂියර් අදහස් දක්වයි. “නොවිසඳුණු ProxyLogon සහ ProxyShell දුර්වලතා සහ මූලික ප්‍රවේශ තැරැව්කරුවන්ගේ ව්‍යාප්තිය හේතුවෙන් පැන නගින අවස්ථා සමඟ, අපි එකම ගොදුරක් තුළ ප්‍රහාරකයන් කිහිප දෙනෙකු සඳහා වැඩි වැඩියෙන් පරීක්ෂා කරන්නෙමු. ජාලයක තවත් අපරාධකරුවන් සිටී නම්, ඔවුන් සෑම කෙනෙකුටම නියමිත වේලාවට තරඟය පරාජය කිරීමට හැකි ඉක්මනින් ක්‍රියා කිරීමට අවශ්‍ය වනු ඇත ”.

 මතු වූ වඩාත්ම අදාළ දත්ත අතර, පහත සඳහන් කරුණු සටහන් කළ යුතුය:

• ransomware වැනි ප්‍රබල ප්‍රහාර අවුස්සන්නේ නැති රහසිගත ආක්‍රමණයන් සඳහා සහ අඩු තොරතුරු තාක්ෂණ ආරක්ෂණ සම්පත් ඇති කුඩා ව්‍යාපාර සහ කුඩා ව්‍යාපාර කොටස් සඳහා සයිබර් අපරාධකරුවන් සොයා ගැනීමට පෙර රැඳී සිටින මධ්‍ය කාලය වැඩි වේ. Ransomware මගින් බලපෑමට ලක් වූ සමාගම්වල පදිංචි කාලයෙහි මධ්‍ය අගය වේ දින 11 ක් ගත විය. තුළ ransomware වැනි පැහැදිලි ප්‍රහාරවලින් අනුගමනය නොකළ උල්ලංඝනයන් (සියලු සිදුවීම් වලින් 23% විශ්ලේෂණය කර ඇත), මධ්යන්ය දින 34 කි. පාසල් අංශයට අයත් හෝ සේවකයින් 500කට අඩු සංඛ්‍යාවක් සිටින යථාර්ථයන් ඊටත් වඩා දිගු පදිංචි කාලයන් වාර්තා කර ඇත.

• දිගු වාසස්ථාන සහ විවෘත ප්‍රවේශ ස්ථාන සමාගම් බහුවිධ ප්‍රහාරවලට නිරාවරණය වේ. IAB වැනි බහුවිධ විරුද්ධවාදීන්ගේ ප්‍රහාරයන්ට එකම සමාගම යටත් වූ අවස්ථා පිළිබඳ සාක්ෂි තිබේ. r හි විශේෂඥ කල්ලිansomware, cryptominers සහ ඉඳහිට ක්‍රියාකරුවන් පවා බහු ransomware වෙත සම්බන්ධ කර ඇත.

• බාහිර ප්‍රවේශය සඳහා දුරස්ථ ඩෙස්ක්ටොප් ප්‍රොටෝකෝලය (RDP) භාවිතයේ අඩුවීමක් තිබියදීත්, ප්‍රහාරකයින් අභ්‍යන්තර පාර්ශ්වීය චලන අරමුණු සඳහා එහි භාවිතය වැඩි කර ඇත. 2020 දී, විශ්ලේෂණය කරන ලද අවස්ථා වලින් 32% ක බාහිර ක්‍රියාකාරකම් සඳහා RDP භාවිතා කරන ලදී. 13 දී අගය 2021% දක්වා අඩු විය. මෙම වෙනස සාදරයෙන් පිළිගන්නා අතර සමාගම් විසින් බාහිර ප්‍රහාර මතුපිට වඩා හොඳින් කළමනාකරණය කිරීමට යෝජනා කරන අතර, සයිබර් අපරාධකරුවන් ඔවුන්ගේ අභ්‍යන්තර පාර්ශ්වීය චලනයන් සඳහා RDP අනිසි ලෙස භාවිතා කරයි. අභ්‍යන්තර පාර්ශ්වීය චලනයන් සඳහා RDP භාවිතය 82 දී විශ්ලේෂණය කරන ලද අවස්ථා වලින් 2021% ක් තුළ සිදු වූ බව සොෆොස් සොයා ගත්තේය. පාලනය 69% ඒ 2020

• පහර දීමට භාවිතා කරන මෙවලම්වල පොදු සංයෝජන අනවශ්‍ය ක්‍රියාකාරකම් පිළිබඳ අනතුරු ඇඟවීමේ ලකුණකි. උදාහරණයක් ලෙස, ආරක්ෂක සිදුවීම් විශ්ලේෂණයන් 2021 දී ස්ක්‍රිප්ට් නිරීක්ෂණය කළ බව සොයා ගන්නා ලදී PowerShell සහ PowerShell නොවන අනිෂ්ට ස්ක්‍රිප්ට් එකට 64% කාලය; PowerShell සහ Cobalt එක්ව 56% කින් පහර දෙයි නඩු පිළිබඳ; හා PowerShell සහ PsExec එකට 51% අවස්ථා වලදී. එබඳු සහසම්බන්ධතා හඳුනා ගැනීම ඉදිරියේදී සිදු වන ප්‍රහාරයක් පිළිබඳ පූර්ව අනතුරු ඇඟවීමක් ලෙස හෝ ක්‍රියාත්මක වෙමින් පවතින ප්‍රහාරයක් තහවුරු කිරීමක් ලෙස සේවය කළ හැකිය.

• නිරීක්ෂණය කරන ලද ransomware සිදුවීම්වලින් 50%ක් දත්ත පෙරලීමට සම්බන්ධ විය - සහ පවතින දත්ත සමඟ, දත්ත සොරකම් කිරීම සහ ransomware සක්‍රිය කිරීම අතර සාමාන්‍ය පරතරය දින 4,28 කි. 73 දී සොෆොස් මැදිහත් වූ සිදුවීම්වලින් 2021% ක කප්පම් මෘදුකාංග සම්බන්ධ සිද්ධීන් විය. මෙයින් 50% ක් දත්ත පෙරලීමට ද සම්බන්ධ විය. ransomware සක්‍රිය වීමට පෙර පිටාර ගැලීම බොහෝ විට ප්‍රහාරයක අවසාන අදියර වන අතර, සිදුවීම් විශ්ලේෂණයන් දින 4,28 සිදුවීම් දෙක අතර සාමාන්‍ය පරතරය දින 1,84 ක මධ්‍යයක් සමඟ ගණනය කරයි.

• කොන්ටි එය කල්ලිය විය 2021 දී නිරීක්ෂණය කරන ලද ඒවා අතර වඩාත් බහුල ransomware, සමස්ත සිදුවීම්වලින් 18% කට වගකිව යුතු ය. කප්පම් මෘදුකාංගය පුනර්ජීවනය සිදුවීම් 1 න් 10 ක් සම්බන්ධ වූ අතර අනෙකුත් පුලුල්ව පැතිරුනු ransomware පවුල් විය අදුරු පැත්ත, ඇමරිකා එක්සත් ජනපදයේ යටත්විජිත නල මාර්ගයට පහරදීමේ වරදට RaaS වරදකරු, ඉ. කළු රාජධානිය, ProxyLogon අවදානමෙන් පසුව 2021 මාර්තු මාසයේ පෙනී සිටි ransomware හි "නව" පවුල්වලින් එකකි. විශ්ලේෂණය මගින් ආවරණය කරන ලද සිද්ධීන් 41 තුළ විවිධ කප්පම් මෘදුකාංග ක්‍රියාකරුවන් 144ක් හඳුනාගෙන ඇත. මෙයින් 28 ක් 2021 දී මුලින්ම බිහි වූ නව කණ්ඩායම් වේ. 2020 දී අනතුරු සඳහා වගකිව යුතු කල්ලි 2021 ක් XNUMX ලැයිස්තුවෙන් අතුරුදහන් විය.

"තොරතුරු තාක්ෂණ ආරක්ෂක කළමණාකරුවන් දැනුවත් කළ යුතු සංඥා වලට මෙවලමක් හඳුනා ගැනීම, ජාලයේ අනපේක්ෂිත ස්ථානයක හෝ අනපේක්ෂිත මොහොතක මෙවලම් හෝ ක්‍රියාකාරකම්වල එකතුවක් ඇතුළත් වේ" යනුවෙන් ෂියර් පැහැදිලි කරයි. “කුඩා හෝ ක්‍රියාකාරකමක් නොමැති අවස්ථා තිබිය හැකි බව මතක තබා ගැනීම වටී, නමුත් එයින් අදහස් කරන්නේ සමාගමක් හැක් කර නැති බවයි. උදාහරණයක් ලෙස, දැනට දන්නා ප්‍රමාණයට වඩා බොහෝ ProxyLogon හෝ ProxyShell උල්ලංඝනයන් තිබෙන්නට ඇත, එහිදී වෙබ් කවච සහ පසු දොර ස්ථාපනය කර ඇති අතර, ප්‍රවේශය භාවිතා කරන තෙක් හෝ වෙනත් අයට නැවත විකුණන තුරු දැනට අක්‍රියව පවතී. විශේෂයෙන් ජනප්‍රිය මෘදුකාංගවල සහ ප්‍රමුඛතාවයක් ලෙස දුරස්ථ ප්‍රවේශ සේවාවල ආරක්‍ෂාව ශක්තිමත් කිරීමට තීරණාත්මක දෝෂ නිවැරදි කිරීමට පැච් යෙදිය යුතුය. නිරාවරණය වූ පිවිසුම් ස්ථාන වසා දමා ප්‍රවේශය ස්ථාපිත කිරීමට සහ නඩත්තු කිරීමට ප්‍රහාරකයන් විසින් කර ඇති සියල්ල මුලිනුපුටා දමන තුරු, ඕනෑම කෙනෙකුට ඔවුන් සමඟ ඇතුළු වීමට හැකි වනු ඇත, බොහෝ විට එසේ වනු ඇත.

Sophos Active Adversary Playbook 2022 අධ්‍යයනය පදනම් වී ඇත්තේ 144 දී සිදු වූ සිදුවීම් 2021 ක් මත පදනම්ව පහත සඳහන් රටවල පිහිටා ඇති සියලුම ප්‍රමාණයේ සහ ව්‍යාපාරික අංශවල සමාගම්වල: ඇමරිකා එක්සත් ජනපදය, කැනඩාව, එක්සත් රාජධානිය, ජර්මනිය, ඉතාලිය, ස්පාඤ්ඤය, ප්‍රංශය, ස්විට්සර්ලන්තය, බෙල්ජියම, නෙදර්ලන්තය, ඔස්ට්‍රියාව, එක්සත් අරාබි එමීර් රාජ්‍යය, සෞදි අරාබිය, පිලිපීනය, බහමාස්, ඇන්ගෝලාව සහ ජපානය.

කර්මාන්ත (17%), සිල්ලර වෙළඳාම (14%), සෞඛ්‍ය සේවා (13%), තොරතුරු තාක්ෂණ (9%), ඉදිකිරීම් (8%) සහ පාසල් (6%) යන අංශ වඩාත් නියෝජනය වේ.

Sophos වාර්තාවේ පරමාර්ථය වන්නේ සයිබර් ආරක්ෂණ කළමනාකරුවන්ට ප්‍රහාර වලදී ඔවුන්ගේ විරුද්ධවාදීන් කරන්නේ කුමක්ද යන්න සහ ජාලයේ සංසරණය වන අනිෂ්ට ක්‍රියාකාරකම් හඳුනාගෙන ඒවායින් ආරක්ෂා වන්නේ කෙසේද යන්න තේරුම් ගැනීමට උපකාර කිරීමයි. සයිබර් අපරාධකරුවන්ගේ හැසිරීම්, මෙවලම් සහ ශිල්පීය ක්‍රම පිළිබඳ වැඩි විස්තර සඳහා, Sophos News හි Sophos Active Adversary Playbook 2022 බලන්න.