Дослідження Sophos Active Adversary Playbook 2022 показує, що час перебування кіберзлочинців у мережах їхніх жертв збільшився на 36%

Sophos, світовий лідер у галузі кібербезпеки наступного покоління, сьогодні опублікував "Active Adversary Playbook 2022 ", il report che riassume i comportamenti cybercriminali osservati sul campo dal team Rapid Response di Sophos nel corso del 2021.

Дані, отримані в результаті дослідження, свідчать про a У 36 році час перебування кіберзлочинців в уражених системах збільшився на 2021%. із середнім показником 15 днів порівняно з 11 у 2020 році.

У звіті також висвітлюється вплив уразливостей ProxyShell у Microsoft Exchange, які, на думку Sophos, використовуються деякими брокерами початкового доступу (IAB) для зламу мереж і подальшого перепродажу свого доступу іншим.

«Світ кіберзлочинності став неймовірно різноманітним і спеціалізованим. The Посередник початкового доступу (які надають індустрії кіберзлочинності доступ до корпоративних ІТ-систем) створили справжню галузь, яка зламує ціль, досліджує її ІТ-середовище або встановлює бекдор, а потім перепродає доступ бандам, які мають справу з цим. вимагачів пояснює Джон Шаєр, старший радник із безпеки Sophos. «У цьому все більш динамічному та спеціалізованому сценарії компаніям може бути важко йти в ногу з еволюцією інструментів і підходів, які використовують кіберзлочинці. Важливо, щоб ті, хто захищається, знали, на що звертати увагу на кожному етапі послідовності атаки, щоб вони могли виявити та нейтралізувати спроби порушення якомога швидше».

Дослідження Sophos також показують, що зловмисники перебувають у корпоративному ІТ-середовищі довше, ніж у більшості інших малий: приблизно 51 день у реальності з до 250 співробітниками проти 20 днів у тих, хто має від 3.000 до 5.000 співробітників.

«Кіберзлочинці більше цінують великі компанії, тому вони більш мотивовані проникнути, зробити те, що вони повинні зробити, а потім вийти. Менші компанії мають нижчу сприйняту «вартість», тому зловмисники можуть дозволити собі залишатися в мережі довше. Також можливо, що в цих випадках зловмисники менш досвідчені, тому їм потрібно більше часу, щоб зрозуміти, що робити, коли вони потрапляють у мережу. Малі підприємства також зазвичай менше бачать послідовності атак і, отже, їм важче виявляти та нейтралізувати зломи, таким чином подовжуючи присутність кіберзлочинців», — коментує Шаєр. «Завдяки можливостям, які виникають через невирішені вразливості ProxyLogon і ProxyShell і поширенню Initial Access Brokers, ми все частіше перевіряємо кілька зловмисників в одній жертві. Якщо в мережі буде більше злочинців, кожен з них захоче діяти якомога швидше, щоб вчасно перемогти конкурента».

 Серед найбільш релевантних даних, що з'явилися, слід відзначити наступні:

• Середня тривалість часу, протягом якого кіберзлочинці залишаються перед виявленням, більша для стелс-вторгнень, які не викликають явних атак, як програми-вимагачі, а також для малих підприємств і невеликих сегментів бізнесу, які мають менше ресурсів ІТ-безпеки. Середнє значення часу перебування в компаніях, уражених програмами-вимагачами, становить пройшло 11 днів. в у випадку порушень, які не супроводжувалися очевидними атаками, наприклад програмами-вимагачами (23% усіх проаналізованих інцидентів), медіана становила 34 дні. Реалії, які належать до шкільного сектору або мають менше ніж 500 працівників, зафіксували навіть більший час проживання.

• Довший час перебування та відкриті точки доступу роблять компанії вразливими до численних атак. Були дані про випадки, коли одна й та сама компанія зазнавала атак з боку кількох супротивників, таких як IAB, банди, що спеціалізуються на рвірусне програмне забезпечення, криптомайнерів і іноді навіть операторів, пов’язаних із кількома програмами-вимагачами.

• Незважаючи на зменшення використання протоколу віддаленого робочого столу (RDP) для зовнішнього доступу, зловмисники збільшили його використання для внутрішніх бічних переміщень. У 2020 році ПРР використовувався для зовнішньої діяльності в 32% проаналізованих випадків, цей показник впав до 13% у 2021 році. Незважаючи на те, що ця зміна вітається та передбачає краще керування зовнішніми поверхнями атак компаніями, кіберзлочинці продовжують зловживати RDP для своїх внутрішніх бокових переміщень. Sophos виявила, що використання RDP для внутрішніх бічних рухів відбувалося в 82% випадків, проаналізованих у 2021 році. проти 69% Дель 2020

• Звичайні комбінації інструментів, що використовуються для атаки, є ознакою небажаної активності. Наприклад, аналіз інцидентів безпеки виявив, що сценарії спостерігалися у 2021 році Шкідливі сценарії PowerShell і не PowerShell разом у 64% випадків; PowerShell і Cobalt досягають 56% результатів випадків; І PowerShell і PsExec разом у 51% випадків. Виявлення таких кореляцій може служити раннім попередженням про загрозу атаки або підтвердженням атаки, що триває.

• 50% спостережуваних інцидентів з програмами-вимагачами стосувалися викрадання даних, а за наявності даних середній інтервал між крадіжкою даних та активацією програм-вимагачів становив 4,28 дня. 73% інцидентів, у які Sophos втрутилася у 2021 році, стосувалися випадків програм-вимагачів. З них 50% також включали викрадання даних. Ексфільтрація часто є останньою стадією атаки перед активацією програми-вимагача, і аналіз інцидентів розрахував середній інтервал між двома подіями в 4,28 дня з медіаною 1,84 дня.

• Conti це була банда найпоширеніші програми-вимагачі серед спостережуваних у 2021 році, відповідальні за 18% загальних інцидентів. Програмне забезпечення-вимагач ЗЛОВА спричинили 1 з 10 інцидентів, тоді як інші поширені сімейства програм-вимагачів Темна сторона, RaaS, винний у атаці на Colonial Pipeline у ​​США, e Чорний королівський дом, одне з «нових» сімейств програм-вимагачів, які з’явилися в березні 2021 року після вразливості ProxyLogon. У 41 інцидентах, охоплених аналізом, було виявлено 144 різного оператора програм-вимагачів; з них 28 є новими групами, які вперше виникли у 2021 році. Вісімнадцять груп, відповідальних за ДТП у 2020 році, зникли зі списку 2021 року

«Ознаки, які мають насторожити менеджерів з ІТ-безпеки, включають виявлення інструменту, комбінації інструментів або дій у неочікуваній точці мережі або в неочікуваний момент», — пояснює Шаєр. «Варто пам’ятати, що можуть бути періоди незначної активності або її відсутності, але це не означає, що компанію не зламали. Ймовірно, наприклад, існує набагато більше порушень ProxyLogon або ProxyShell, ніж відомо на даний момент, де веб-оболонки та бекдори були встановлені для отримання постійного доступу та які наразі залишаються неактивними, доки доступ не буде використано або перепродано іншим. Патчі необхідно застосовувати для виправлення критичних помилок, особливо в популярному програмному забезпеченні, і, як пріоритет, для посилення безпеки служб віддаленого доступу. Поки викриті точки входу не будуть закриті, а все, що зробили зловмисники для встановлення та підтримки доступу, не буде знищено, будь-хто зможе проникнути з ними, і, ймовірно, так і буде».

Дослідження Sophos Active Adversary Playbook 2022 базується на 144 інцидентах, які сталися у 2021 році в компаніях будь-якого розміру та бізнес-секторів, розташованих у таких країнах: США, Канада, Великобританія, Німеччина, Італія, Іспанія, Франція, Швейцарія, Бельгія, Нідерланди, Австрія, Об'єднані Арабські Емірати, Саудівська Аравія, Філіппіни, Багами, Ангола та Японія.

Найбільш представлені сектори: промисловість (17%), роздрібна торгівля (14%), охорона здоров’я (13%), ІТ (9%), будівництво (8%) та школа (6%).

Мета звіту Sophos — допомогти менеджерам з кібербезпеки зрозуміти, що роблять їхні противники під час атак, а також як виявити та захистити себе від зловмисної активності, що поширюється в мережі. Для отримання додаткової інформації про поведінку, інструменти та методи кіберзлочинців див. Sophos Active Adversary Playbook 2022 на Sophos News.