SOPHOS,下一代網絡安全的全球領導者,今天發布“積極的對手劇本 2022", il report che riassume i comportamenti cybercriminali osservati sul campo dal team Rapid Response di Sophos nel corso del 2021.
研究得出的數據表明, 到 36 年,網絡犯罪分子留在受影響系統中的時間增加 2021% 中位數為 15 天,而 11 年為 2020 天。
該報告還強調了 Microsoft Exchange 中 ProxyShell 漏洞的影響,Sophos 認為某些初始訪問代理 (IAB) 會利用這些漏洞破壞網絡,然後將其訪問權限轉售給其他人。
“網絡犯罪的世界已經變得非常多樣化和專業化。 這 初始訪問代理 (為網絡犯罪行業提供訪問公司 IT 系統的權限)已經開發出一個真正的行業,該行業可以侵入目標,探索其 IT 環境或安裝後門,然後轉售給與之打交道的團伙的訪問權限。 勒索 Sophos 高級安全顧問 John Shier 解釋道。 “在這種日益動態和專業化的情況下,公司可能很難跟上網絡犯罪分子使用的工具和方法的發展步伐。 防御者必須知道在攻擊序列的每個階段要尋找什麼,以便他們能夠盡快檢測並消除破壞企圖”。
Sophos 研究還表明,入侵者在企業 IT 環境中的停留時間比大多數人都長 小:實際上最多 51 名員工大約需要 250 天,而擁有 20 到 3.000 名員工的公司需要 5.000 天。
“網絡犯罪分子對大公司的價值更高,因此他們更有動力進入,做他們必須做的事情,然後離開。 較小的公司具有較低的感知“價值”,因此攻擊者可以在網絡中停留更長的時間。 在這些情況下,攻擊者也有可能經驗不足,因此需要更多時間來弄清楚一旦進入網絡該做什麼。 小型企業通常對攻擊序列的可見性也較低,因此更難檢測和消除違規行為,從而延長了網絡犯罪分子的存在時間,”Shier 評論道。 “由於未解決的 ProxyLogon 和 ProxyShell 漏洞以及初始訪問代理的傳播帶來的機會,我們越來越多地檢查同一受害者中的多個攻擊者。 如果網絡中有更多的犯罪分子,他們每個人都會希望盡快採取行動以按時擊敗競爭對手”。
在出現的最相關的數據中,應注意以下幾點:
- 對於不會觸發勒索軟件等公開攻擊的隱蔽入侵,以及 IT 安全資源較少的小型企業和小型業務部門,網絡犯罪分子在被發現之前停留的中位時間更長。 受勒索軟件影響的公司的停留時間中值為 已經11天了。 在 在沒有出現明顯攻擊(如勒索軟件)的違規案例中(佔分析的所有事件的 23%),中位數為 34 天。 屬於學校部門或員工少於 500 人的現實記錄了更長的停留時間。
- 更長的停留時間和開放的接入點使公司面臨多重攻擊。 有證據表明同一家公司受到來自多個對手的攻擊,例如 IAB、 專門從事r的幫派安索軟件,加密礦工,有時甚至是鏈接到多個勒索軟件的運營商。
- 儘管遠程桌面協議 (RDP) 用於外部訪問的使用有所減少,但攻擊者已增加其用於內部橫向移動目的的用途。 2020 年,在 32% 的分析案例中,RDP 用於外部活動, 13年這一數字下降到2021%. 雖然這一變化值得歡迎,並表明公司可以更好地管理外部攻擊面,但網絡犯罪分子繼續濫用 RDP 進行內部橫向移動。 Sophos 發現,在 82 年分析的 2021% 的案例中,使用 RDP 進行內部橫向運動 反對這 企業排放佔全球 69% 德爾 2020
- 用於攻擊的常見工具組合是有害活動的警告信號。 例如,安全事件分析發現,在 2021 年觀察到腳本 64% 的時間將 PowerShell 和非 PowerShell 惡意腳本放在一起; PowerShell 和 Cobalt Strike 共 56% 個案; 和 51% 的案例中同時使用 PowerShell 和 PsExec. 這種相關性的檢測可以作為即將發生的攻擊的早期警告或作為正在進行的攻擊的確認。
- 觀察到的勒索軟件事件中有 50% 涉及數據洩露 - 在可用數據的情況下,數據竊取和勒索軟件激活之間的平均間隔為 4,28 天。 73 年 Sophos 干預的事件中有 2021% 涉及勒索軟件案件。 其中,50% 還涉及數據洩露。 滲漏通常是勒索軟件被激活之前攻擊的最後階段,事件分析計算出兩次事件之間的平均間隔為 4,28 天,中位數為 1,84 天。
- 孔蒂 那是幫派 2021 年觀察到的勒索軟件中最多產的勒索軟件,佔總事件的 18%。 勒索軟件 魔鬼 涉及十分之一的事件,而其他廣泛的勒索軟件系列 暗面, RaaS 犯有攻擊美國殖民管道的罪行, e 黑色王國,是在 ProxyLogon 漏洞之後於 2021 年 41 月出現的“新”勒索軟件系列之一。 在分析涵蓋的 144 起事件中,確定了 28 名不同的勒索軟件運營商; 其中,2021個是2020年首次出現的新團伙。2021年事故責任XNUMX個團伙從XNUMX年名單中消失
“應該提醒 IT 安全經理的跡象包括在網絡上意外點或意外時刻檢測到工具、工具組合或活動,”Shier 解釋說。 “值得記住的是,有時可能很少或沒有活動,但這並不意味著公司沒有被黑客入侵。 例如,可能存在比目前已知的更多的 ProxyLogon 或 ProxyShell 違規行為,其中安裝了 Web Shell 和後門以獲得持久訪問權,並且在訪問權被使用或轉售給其他人之前,它們當前保持非活動狀態。 需要應用補丁來修復關鍵錯誤,特別是在流行軟件中,並且作為優先事項,加強遠程訪問服務的安全性。 在暴露的入口點被關閉並且攻擊者為建立和維護訪問權限所做的一切被根除之前,任何人都可以與他們一起進入,而且可能會”。
Sophos Active Adversary Playbook 2022 研究基於 144 年發生在以下國家/地區的各種規模和業務部門的公司中的 2021 起事件:美國、加拿大、英國、德國、意大利、西班牙、法國、瑞士、比利時、荷蘭、奧地利、阿拉伯聯合酋長國、沙特阿拉伯、菲律賓、巴哈馬、安哥拉和日本。
最具代表性的行業是工業(17%)、零售(14%)、醫療保健(13%)、IT(9%)、建築(8%)和學校(6%)。
Sophos 報告的目標是幫助網絡安全管理人員了解他們的對手在攻擊期間正在做什麼,以及如何檢測和保護自己免受網絡上傳播的惡意活動的侵害。 有關網絡犯罪分子的行為、工具和技術的更多信息,請參閱 Sophos News 上的 Sophos Active Adversary Playbook 2022。
