Forskning från Sophos Active Adversary Playbook 2022 avslöjar att cyberbrottslingars vistelsetid i deras offernätverk ökade med 36 %

Sophos, en global ledare inom nästa generations cybersäkerhet, publicerade idag "Active Adversary Playbook 2022", il report che riassume i comportamenti cybercriminali osservati sul campo dal team Rapid Response di Sophos nel corso del 2021.

Data som framkom från forskningen indikerar en 36 % ökning av tiden som cyberbrottslingar stannar kvar inom drabbade system 2021 med en median på 15 dagar jämfört med 11 år 2020.

Rapporten belyser också effekterna av ProxyShell-sårbarheter inom Microsoft Exchange, som Sophos tror utnyttjas av vissa Initial Access Brokers (IAB) för att bryta nätverk och sedan sälja sin åtkomst till andra.

"Den cyberbrottsliga världen har blivit otroligt mångfaldig och specialiserad. De Initial Access Broker (som ger cyberbrottsindustrin tillgång till företagens IT-system) har utvecklat en riktig bransch som hackar sig in i ett mål, utforskar sin IT-miljö eller installerar en bakdörr och sedan säljer åtkomst till gängen som sysslar med det. Ransomware förklarar John Shier, Sophos senior säkerhetsrådgivare. "I detta allt mer dynamiska och specialiserade scenario kan det vara svårt för företag att hålla jämna steg med utvecklingen av de verktyg och tillvägagångssätt som används av cyberbrottslingar. Det är viktigt att de som försvarar sig vet vad de ska leta efter i varje skede av attacksekvensen, så att de kan upptäcka och neutralisera kränkningsförsök så snabbt som möjligt”.

Sophos forskning visar också att inkräktares vistelsetid är längre i företags IT-miljöer än de flesta liten: cirka 51 dagar i verkligheten med upp till 250 anställda mot 20 dagar i de med 3.000 5.000 till XNUMX XNUMX anställda.

"Cyberbrottslingar sätter högre värde på större företag, så de är mer motiverade att komma in, göra vad de måste göra och sedan komma ut. Mindre företag har lägre upplevt "värde", så angripare har råd att stanna kvar i nätverket under längre perioder. Det är också möjligt att angriparna i dessa fall är mindre erfarna och därför tar längre tid att ta reda på vad de ska göra när de väl är inne i nätverket. Små företag har också generellt sett mindre insyn i attacksekvenser och har följaktligen svårare att upptäcka och neutralisera intrång, vilket förlänger närvaron av cyberbrottslingar”, kommenterar Shier. "Med möjligheterna som uppstår från de olösta ProxyLogon- och ProxyShell-sårbarheterna och spridningen av Initial Access Brokers, letar vi alltmer efter flera angripare inom samma offer. Om det finns fler kriminella i ett nätverk, kommer var och en av dem att vilja agera så snabbt som möjligt för att slå konkurrenterna i tid ”.

 Bland de mest relevanta uppgifterna som framkommit bör följande noteras:

• Mediantiden för cyberbrottslingar stannar innan de upptäcks är längre för smygintrång som inte utlöser öppna attacker som ransomware, och för småföretag och mindre affärssegment som har färre IT-säkerhetsresurser. Medianvärdet för uppehållstid i företag som drabbas av ransomware är gått 11 dagar. I vid intrång som inte följdes av uppenbara attacker som ransomware (23 % av alla analyserade incidenter) var medianen 34 dagar. Verkligheter som tillhör skolsektorn eller med färre än 500 anställda registrerade ännu längre vistelsetider.

• Längre uppehållstider och öppna åtkomstpunkter gör att företag utsätts för flera attacker. Det fanns bevis på fall där samma företag utsattes för attacker från flera motståndare som IAB, gäng specialiserade på ransomware, kryptominerare och ibland även operatörer kopplade till flera ransomware.

• Trots en minskning av användningen av Remote Desktop Protocol (RDP) för extern åtkomst, har angripare ökat användningen för intern lateral rörelse. År 2020 användes RDP för extern verksamhet i 32 % av de analyserade fallen, siffran sjönk till 13 % 2021. Även om denna förändring är välkommen och föreslår bättre hantering av externa attackytor av företag, fortsätter cyberbrottslingar att missbruka RDP för sina interna laterala rörelser. Sophos fann att användningen av RDP för interna laterala rörelser inträffade i 82 % av fallen som analyserades 2021 mot 69% del 2020

• Vanliga kombinationer av verktyg som används för att attackera är ett varningstecken för oönskad aktivitet. Till exempel visade säkerhetsincidentanalyser att skript observerades 2021 PowerShell och icke-PowerShell skadliga skript tillsammans 64% av tiden; PowerShell och Cobalt slår ihop i 56 % av fallen; Och PowerShell och PsExec tillsammans i 51 % av fallen. Upptäckt av sådana samband kan fungera som en tidig varning om en förestående attack eller som bekräftelse på en pågående attack.

• 50 % av de observerade ransomware-incidenterna involverade dataexfiltrering - och med tillgänglig data var det genomsnittliga intervallet mellan datastöld och aktivering av ransomware 4,28 dagar. 73 % av incidenterna där Sophos ingrep 2021 gällde fall av ransomware. Av dessa involverade 50 % även dataexfiltrering. Exfiltration är ofta det sista steget i en attack innan ransomware aktiveras, och incidentanalyser beräknade ett genomsnittligt intervall mellan de två händelserna på 4,28 dagar med en median på 1,84 dagar.

• Conti det var gänget mest produktiva ransomware bland de som observerades 2021, ansvarig för 18 % av de totala incidenterna. Ransomware Revil involverade 1 av 10 incidenter, medan andra utbredda familjer med ransomware var det Mörk sida, RaaS skyldig till attacken mot Colonial Pipeline i USA, t.ex Svart KingDom, en av de "nya" familjerna av ransomware som dök upp i mars 2021 i kölvattnet av ProxyLogon-sårbarheten. 41 olika ransomware-operatörer identifierades i de 144 incidenter som omfattas av analysen; av dessa är 28 nya grupper som först uppstod 2021. Arton gäng ansvariga för olyckor 2020 försvann från 2021 års lista

"Tecknen som bör varna IT-säkerhetschefer inkluderar upptäckten av ett verktyg, en kombination av verktyg eller aktiviteter vid en oväntad punkt på nätverket eller vid ett oväntat ögonblick," förklarar Shier. "Det är värt att komma ihåg att det kan finnas tider med liten eller ingen aktivitet, men det betyder inte att ett företag inte har blivit hackat. Det finns sannolikt till exempel många fler ProxyLogon- eller ProxyShell-överträdelser än vad som är känt för närvarande, där webbskal och bakdörrar har installerats för att få bestående åtkomst och som för närvarande förblir inaktiva tills åtkomsten används eller säljs vidare till andra. . Patchar måste appliceras för att fixa kritiska buggar, särskilt i populär programvara och, som en prioritet, stärka säkerheten för fjärråtkomsttjänster. Tills de exponerade ingångspunkterna är stängda och allt som angriparna har gjort för att etablera och upprätthålla åtkomst är utrotat, kommer vem som helst att kunna gå in med dem, och kommer förmodligen att göra det ”.

Sophos Active Adversary Playbook 2022-studien är baserad på 144 incidenter som inträffade 2021 i företag av alla storlekar och affärssektorer i följande länder: USA, Kanada, Storbritannien, Tyskland, Italien, Spanien, Frankrike, Schweiz, Belgien, Nederländerna, Österrike, Förenade Arabemiraten, Saudiarabien, Filippinerna, Bahamas, Angola och Japan.

De sektorer som är mest representerade är industri (17 %), detaljhandel (14 %), sjukvård (13 %), IT (9 %), byggverksamhet (8 %) och skola (6 %).

Målet med Sophos-rapporten är att hjälpa cybersäkerhetschefer att förstå vad deras motståndare gör under attacker och hur de kan upptäcka och skydda sig mot skadlig aktivitet som cirkulerar på nätverket. För mer information om cyberbrottslingars beteenden, verktyg och tekniker, se Sophos Active Adversary Playbook 2022 på Sophos News.