Hulumtimi i Sophos Active Adversary Playbook 2022 zbulon se 'koha e qëndrimit në rrjetet e viktimave' të kriminelëve kibernetikë është rritur me 36%

Sophos, një lider global në sigurinë kibernetike të gjeneratës së ardhshme, botuar sot "Active Adversary Playbook 2022 ", il report che riassume i comportamenti cybercriminali osservati sul campo dal team Rapid Response di Sophos nel corso del 2021.

Të dhënat që dolën nga hulumtimi tregojnë a Rritje 36% në kohën kur kriminelët kibernetikë mbeten brenda sistemeve të prekura në 2021 me një mesatare prej 15 ditësh krahasuar me 11 në 2020.

Raporti thekson gjithashtu ndikimin e dobësive të ProxyShell brenda Microsoft Exchange, të cilat Sophos beson se janë shfrytëzuar nga disa Brokerë të Access Initial (IAB) për të shkelur rrjetet dhe më pas rishitur aksesin e tyre te të tjerët.

“Bota e krimit kibernetik është bërë tepër e larmishme dhe e specializuar. Të Ndërmjetësi fillestar i aksesit (që i ofrojnë industrisë së krimit kibernetik akses në sistemet e korporatave IT) kanë zhvilluar një industri të vërtetë që hakon një objektiv, eksploron mjedisin e tij IT ose instalon një derë të pasme dhe më pas rishit aksesin te bandat që merren me të. ransomware shpjegon John Shier, këshilltar i lartë i sigurisë në Sophos. “Në këtë skenar gjithnjë e më dinamik dhe të specializuar, mund të jetë e vështirë për kompanitë të mbajnë ritmin me evoluimin e mjeteve dhe qasjeve të përdorura nga kriminelët kibernetikë. Është thelbësore që mbrojtësi të dijë se çfarë të kërkojë në çdo fazë të sekuencës së sulmit, në mënyrë që ata të mund të zbulojnë dhe neutralizojnë përpjekjet për shkelje sa më shpejt të jetë e mundur ".

Hulumtimi i Sophos tregon gjithashtu se koha e qëndrimit të ndërhyrësve është më e gjatë në mjediset e korporatave të IT se shumica i vogël: rreth 51 ditë në realitet me deri në 250 punonjës kundrejt 20 ditëve në ato me 3.000 deri në 5.000 punonjës.

“Kriminelët kibernetikë u japin vlerë më të madhe kompanive më të mëdha, kështu që ata janë më të motivuar për të hyrë, për të bërë atë që duhet të bëjnë dhe më pas për të dalë. Kompanitë më të vogla kanë 'vlerë' më të ulët të perceptuar, kështu që sulmuesit mund të përballojnë të qëndrojnë brenda rrjetit për periudha më të gjata kohore. Është gjithashtu e mundur që në këto raste sulmuesit të kenë më pak përvojë dhe për këtë arsye të marrin më shumë kohë për të kuptuar se çfarë të bëjnë pasi të jenë brenda rrjetit. Bizneset e vogla gjithashtu përgjithësisht kanë më pak dukshmëri në sekuencat e sulmeve dhe rrjedhimisht e kanë më të vështirë zbulimin dhe neutralizimin e shkeljeve, duke zgjatur kështu praninë e kriminelëve kibernetikë,” komenton Shier. “Me mundësitë që lindin nga dobësitë e pazgjidhura të ProxyLogon dhe ProxyShell dhe përhapja e ndërmjetësve të hyrjes fillestare, ne po kontrollojmë gjithnjë e më shumë për sulmues të shumtë brenda së njëjtës viktimë. Nëse ka më shumë kriminelë në një rrjet, secili prej tyre do të dëshirojë të veprojë sa më shpejt që të jetë e mundur për të mposhtur konkurrencën në kohë ".

 Ndër të dhënat më të rëndësishme që dolën, duhet theksuar sa vijon:

• Kohëzgjatja mesatare e kohës që kriminelët kibernetikë qëndrojnë përpara se të zbulohen është më e madhe për ndërhyrjet e fshehta që nuk shkaktojnë sulme të hapura si ransomware, dhe për bizneset e vogla dhe segmentet më të vogla të biznesit që kanë më pak burime sigurie IT. Vlera mesatare e kohës së qëndrimit në kompanitë e prekura nga ransomware është kanë kaluar 11 ditë. Në rasti i shkeljeve që nuk u pasuan nga sulme të dukshme si ransomware (23% e të gjitha incidenteve të analizuara), mesatarja ishte 34 ditë. Realitetet që i përkasin sektorit të shkollës ose me më pak se 500 punonjës shënuan kohë qëndrimi edhe më të gjata.

• Koha më e gjatë e qëndrimit dhe pikat e hapura të aksesit i lënë kompanitë të ekspozuara ndaj sulmeve të shumta. Kishte dëshmi të rasteve kur e njëjta kompani ishte subjekt i sulmeve nga kundërshtarë të shumtë si IAB, bandat e specializuara në ransomware, kriptominerët dhe herë pas here edhe operatorë të lidhur me shumë ransomware.

• Pavarësisht nga një rënie në përdorimin e Protokollit të Desktopit në distancë (RDP) për akses të jashtëm, sulmuesit kanë rritur përdorimin e tij për qëllime të lëvizjes së brendshme anësore. Në vitin 2020, PZHR është përdorur për aktivitete të jashtme në 32% të rasteve të analizuara. shifra ra në 13% në 2021. Ndërsa ky ndryshim është i mirëpritur dhe sugjeron menaxhim më të mirë të sipërfaqeve të sulmeve të jashtme nga kompanitë, kriminelët kibernetikë vazhdojnë të abuzojnë me RDP-në për lëvizjet e tyre të brendshme anësore. Sophos zbuloi se përdorimi i RDP për lëvizjet e brendshme anësore ndodhi në 82% të rasteve të analizuara në 2021 kundër il 69% del 2020

• Kombinimet e zakonshme të mjeteve të përdorura për të sulmuar janë një shenjë paralajmëruese e aktivitetit të padëshiruar. Për shembull, analizat e incidenteve të sigurisë zbuluan se skriptet u vëzhguan në vitin 2021 Skriptet me qëllim të keq PowerShell dhe jo-PowerShell së bashku në 64% të rasteve; PowerShell dhe Cobalt Strike së bashku në 56% të rasteve; Dhe PowerShell dhe PsExec së bashku në 51% të rasteve. Zbulimi i korrelacioneve të tilla mund të shërbejë si një paralajmërim i hershëm për një sulm të afërt ose si konfirmim i një sulmi në vazhdim.

• 50% e incidenteve të vëzhguara të ransomware përfshinin ekfiltrimin e të dhënave - dhe me të dhënat e disponueshme, intervali mesatar midis vjedhjes së të dhënave dhe aktivizimit të ransomware ishte 4,28 ditë. 73% e incidenteve në të cilat Sophos ndërhyri në 2021 përfshinin raste të ransomware. Nga këto, 50% përfshinin gjithashtu eksfiltimin e të dhënave. Eksfiltrimi është shpesh faza e fundit e një sulmi përpara se të aktivizohet ransomware, dhe analizat e incidentit kanë llogaritur një interval mesatar midis dy ngjarjeve prej 4,28 ditësh me një mesatare prej 1,84 ditësh.

• Conti ishte banda ransomware më pjellor midis atyre të vëzhguar në 2021, përgjegjës për 18% të incidenteve të përgjithshme. Ransomware Sulmi përfshiu 1 në 10 incidente, ndërsa familje të tjera të përhapura ransomware ishin Ana e erret, RaaS fajtor për sulmin në Gazsjellësin Kolonial në SHBA, e Mbreti i Zi, një nga familjet "e reja" të ransomware që u shfaq në mars 2021 në vazhdën e cenueshmërisë ProxyLogon. 41 operatorë të ndryshëm ransomware u identifikuan në 144 incidentet e mbuluara nga analiza; nga këto, 28 janë grupe të reja që u shfaqën për herë të parë në vitin 2021. Tetëmbëdhjetë banda përgjegjëse për aksidentet në 2020 u zhdukën nga lista e 2021

"Shenjat që duhet të paralajmërojnë menaxherët e sigurisë së IT përfshijnë zbulimin e një mjeti, një kombinim mjetesh ose aktivitetesh në një pikë të papritur të rrjetit ose në një moment të papritur," shpjegon Shier. “Ia vlen të kujtohet se mund të ketë kohë me pak ose aspak aktivitet, por kjo nuk do të thotë që një kompani nuk është hakuar. Ka të ngjarë, për shembull, shumë më tepër shkelje të ProxyLogon ose ProxyShell sesa dihen aktualisht, ku predhat e uebit dhe dyert e pasme janë instaluar për të fituar akses të vazhdueshëm dhe që aktualisht mbeten joaktive derisa qasja të përdoret ose t'u rishiten të tjerëve. Patch-et duhet të aplikohen për të rregulluar gabimet kritike, veçanërisht në softuerët e njohur dhe, si prioritet, për të forcuar sigurinë e shërbimeve të aksesit në distancë. Derisa pikat e hyrjes të ekspozuara të mbyllen dhe gjithçka që sulmuesit kanë bërë për të vendosur dhe ruajtur aksesin të çrrënjoset, çdokush do të mund të hyjë me to, dhe me siguri do ta bëjë ".

Studimi i Sophos Active Adversary Playbook 2022 bazohet në 144 incidente që kanë ndodhur në vitin 2021 në kompani të të gjitha madhësive dhe sektorëve të biznesit të vendosura në vendet e mëposhtme: SHBA, Kanada, MB, Gjermani, Itali, Spanjë, Francë, Zvicër, Belgjikë, Holandë , Austria, Emiratet e Bashkuara Arabe, Arabia Saudite, Filipinet, Bahamas, Angola dhe Japonia.

Sektorët më të përfaqësuar janë industria (17%), tregtia me pakicë (14%), shëndetësia (13%), IT (9%), ndërtimi (8%) dhe shkolla (6%).

Qëllimi i raportit të Sophos është të ndihmojë menaxherët e sigurisë kibernetike të kuptojnë se çfarë po bëjnë kundërshtarët e tyre gjatë sulmeve dhe si të zbulojnë dhe mbrohen nga aktiviteti keqdashës që qarkullon në rrjet. Për më shumë informacion mbi sjelljet, mjetet dhe teknikat e kriminelëve kibernetikë, shihni Librin e lojërave të Sophos Active Adversary 2022 në Sophos News.