Sophos, en global ledare inom nästa generations cybersäkerhet, publicerade idag "Active Adversary Playbook 2022", il report che riassume i comportamenti cybercriminali osservati sul campo dal team Rapid Response di Sophos nel corso del 2021.
Data som framkom från forskningen indikerar en 36 % ökning av tiden som cyberbrottslingar stannar kvar inom drabbade system 2021 med en median på 15 dagar jämfört med 11 år 2020.
Rapporten belyser också effekterna av ProxyShell-sårbarheter inom Microsoft Exchange, som Sophos tror utnyttjas av vissa Initial Access Brokers (IAB) för att bryta nätverk och sedan sälja sin åtkomst till andra.
"Den cyberbrottsliga världen har blivit otroligt mångfaldig och specialiserad. De Initial Access Broker (som ger cyberbrottsindustrin tillgång till företagens IT-system) har utvecklat en riktig bransch som hackar sig in i ett mål, utforskar sin IT-miljö eller installerar en bakdörr och sedan säljer åtkomst till gängen som sysslar med det. Ransomware förklarar John Shier, Sophos senior säkerhetsrådgivare. "I detta allt mer dynamiska och specialiserade scenario kan det vara svårt för företag att hålla jämna steg med utvecklingen av de verktyg och tillvägagångssätt som används av cyberbrottslingar. Det är viktigt att de som försvarar sig vet vad de ska leta efter i varje skede av attacksekvensen, så att de kan upptäcka och neutralisera kränkningsförsök så snabbt som möjligt”.
"Cyberbrottslingar sätter högre värde på större företag, så de är mer motiverade att komma in, göra vad de måste göra och sedan komma ut. Mindre företag har lägre upplevt "värde", så angripare har råd att stanna kvar i nätverket under längre perioder. Det är också möjligt att angriparna i dessa fall är mindre erfarna och därför tar längre tid att ta reda på vad de ska göra när de väl är inne i nätverket. Små företag har också generellt sett mindre insyn i attacksekvenser och har följaktligen svårare att upptäcka och neutralisera intrång, vilket förlänger närvaron av cyberbrottslingar”, kommenterar Shier. "Med möjligheterna som uppstår från de olösta ProxyLogon- och ProxyShell-sårbarheterna och spridningen av Initial Access Brokers, letar vi alltmer efter flera angripare inom samma offer. Om det finns fler kriminella i ett nätverk, kommer var och en av dem att vilja agera så snabbt som möjligt för att slå konkurrenterna i tid ”.
"Tecknen som bör varna IT-säkerhetschefer inkluderar upptäckten av ett verktyg, en kombination av verktyg eller aktiviteter vid en oväntad punkt på nätverket eller vid ett oväntat ögonblick," förklarar Shier. "Det är värt att komma ihåg att det kan finnas tider med liten eller ingen aktivitet, men det betyder inte att ett företag inte har blivit hackat. Det finns sannolikt till exempel många fler ProxyLogon- eller ProxyShell-överträdelser än vad som är känt för närvarande, där webbskal och bakdörrar har installerats för att få bestående åtkomst och som för närvarande förblir inaktiva tills åtkomsten används eller säljs vidare till andra. . Patchar måste appliceras för att fixa kritiska buggar, särskilt i populär programvara och, som en prioritet, stärka säkerheten för fjärråtkomsttjänster. Tills de exponerade ingångspunkterna är stängda och allt som angriparna har gjort för att etablera och upprätthålla åtkomst är utrotat, kommer vem som helst att kunna gå in med dem, och kommer förmodligen att göra det ”.
De sektorer som är mest representerade är industri (17 %), detaljhandel (14 %), sjukvård (13 %), IT (9 %), byggverksamhet (8 %) och skola (6 %).
Målet med Sophos-rapporten är att hjälpa cybersäkerhetschefer att förstå vad deras motståndare gör under attacker och hur de kan upptäcka och skydda sig mot skadlig aktivitet som cirkulerar på nätverket. För mer information om cyberbrottslingars beteenden, verktyg och tekniker, se Sophos Active Adversary Playbook 2022 på Sophos News.
Marinesektorn är en sann global ekonomisk makt, som har navigerat mot en marknad på 150 miljarder...
I måndags tillkännagav Financial Times ett avtal med OpenAI. FT licensierar sin journalistik i världsklass...
Miljontals människor betalar för streamingtjänster och betalar månatliga prenumerationsavgifter. Det är en allmän uppfattning att du...
Coveware by Veeam kommer att fortsätta att tillhandahålla svarstjänster för cyberutpressning. Coveware kommer att erbjuda kriminaltekniska och saneringsmöjligheter...