Cyberprzestępcy coraz częściej pozostają niezauważeni w sieci firmowej
Sophos Cybersecurity, Cyber Threat, Cyberangriffe
Cyberprzestępcy coraz dłużej pozostają niezauważeni w sieci korporacyjnej
Sophos opublikował swój "Active Adversary Playbook 2022" raport. Opisuje on szczegółowo m.in. zachowania cyberprzestępców zaobserwowane przez Rapid Response Team Sophos zaobserwowane w 2021 roku. Na stronie badania pokazują wzrost czasu, jaki cyberprzestępcy spędzają w sieciach korporacyjnych o 36 procent. Średnia niewykryta sieci bez poważnego ataku, takiego jak ransomware, wynosi 34 dni. Raport pokazuje również wpływ m.in. Luki ProxyShell w Microsoft Exchange, które zdaniem Sophos są wykorzystywane przez niektórych przez wielu brokerów pierwszego dostępu (IAB) do penetracji sieci, a następnie a następnie sprzedawać dostęp innym cyberprzestępcom.
"Świat cyberprzestępczości stał się niesamowicie zróżnicowany i wyspecjalizowany" - mówi John Shier, starszy doradca ds. bezpieczeństwa w Sophos. "Brokerzy dostępu początkowego (IAB) rozwinęli swój własny przemysł cyberprzestępczy poprzez penetrację celu, jego zwiad lub instalację backdoora, a następnie backdoor, a następnie zapewniając dostęp pod klucz do Gangom Ransomware do ich własnych ataków. W tym coraz bardziej dynamicznym i wyspecjalizowanym krajobrazie cyberzagrożeń, może być trudno dla organizacjom nadążyć za ciągle zmieniającymi się narzędziami i metodami atakujących. atakujących. Ważne jest, aby wiedzieli, co należy na każdym etapie łańcucha ataku, tak aby mogły jak najszybciej wykryć i zneutralizować ataki i neutralizować je tak szybko, jak to możliwe".
Dłuższe pozostawanie w mocy w mniejszych firmach i sektorze edukacji
Badania Sophos pokazują również, że czas przebywania m.in.
atakujących był dłuższy w mniejszych firmach niż w większych.
Cyberprzestępcy przebywali w firmach zatrudniających do 250 pracowników przez
przez około 51 dni. Dla porównania, w firmach zatrudniających od 3 do 5 tys. pracowników, spędzali zazwyczaj
do 5 000 pracowników, spędzali zazwyczaj "tylko" 20 dni.
Ataki typu ransomware stanowią szczególny przypadek. Tutaj przestępcy działają w sumie
"szybciej" ogólnie, ale i tu niewykryty pobyt w sieci wzrósł z
11 dni w 2020 roku do 15 dni w 2021 roku.
Większe firmy bardziej "wartościowe"dla cyberprzestępców , szarpiące się o miejsce
w sieci
"Atakujący uważają większe organizacje za bardziej wartościowe i dlatego są
zmotywowani do szybkiego wejścia i szybkiego wyjścia
znikają. Mniejsze organizacje mają mniejszą `wartość', przez co
intruzi mogą sobie pozwolić na dłuższe przebywanie w tle w sieci.
sieci. Jednak możliwe jest również, że ci napastnicy mają
mniejsze doświadczenie i dlatego spędzają więcej czasu w sieci
zwiad. Mniejsze firmy mają również tendencję do
mieć mniejszy wgląd w łańcuch ataków, aby wykrywać i odpierać ataki.
je rozproszyć. To również przedłuża obecność napastników" - powiedział Shier.
"Z możliwościami, jakie stwarzają niezałatane luki ProxyLogon i
ProxyLogon i ProxyShell, a także pojawienie się IABs, obserwujemy
wielu napastników w tej samej sieci docelowej" - dodał.
sieci. Kiedy robi się tam ciasno, chcą działać szybko, aby wyprzedzić swoich
konkurencję, aby się pojawić".
Średni czas przebywania do momentu wykrycia był dłuższy w przypadku ataków typu "stealth", które nie przekształciły się w poważny atak, takich jak ransomware. ataku, takiego jak ransomware, oraz w przypadku mniejszych organizacji z mniejszymi zasobami bezpieczeństwa IT. Średni czas przebywania napastników w organizacjach, które zostały zaatakowane przez oprogramowanie ransomware, wynosił 15 dni. W przypadku organizacji, które zostały naruszone, ale nie zostały jeszcze dotknięte przez atakiem takim jak ransomware (23 procent wszystkich zbadanych przypadków), średni przypadków), średni czas przebywania wynosił 34 dni. W przypadku organizacji w sektorze edukacji lub zatrudniających mniej niż 500 pracowników, czas przebywania był również dłuższy. był również dłuższy.
Dłuższy czas przebywania i otwarte punkty wejścia sprawiają, że organizacje są narażone na atak wielu napastników. Eksperci Sophos Forensic odkryli przypadki gdzie wielu atakujących, w tym IAB, Ransomware-Banden, cryptominer, a czasami nawet wiele grup ransomware, obrało za cel tę samą organizację w tym samym czasie. ataki na tę samą organizację
Pomimo spadku wykorzystania protokołu Remote Desktop Protocol (RDP) do dostępu zewnętrznego, atakujący coraz częściej wykorzystywali to narzędzie do pracy w sieci. coraz częściej wykorzystywali to narzędzie do wkradania się do sieci. W 2020 r. atakujący wykorzystywali RDP do działań zewnętrznych w 32 procentach analizowanych przypadków. This share Zmiana ta jest godna pochwały i sugeruje, że firmy są i sugeruje, że organizacje poprawiły swoje zarządzanie zewnętrznymi powierzchniami ataku, napastnicy są powierzchni ataku, ale napastnicy nadal nadużywają RDP do wewnętrznych ruchów bocznych. Sophos stwierdził, że w 2021 roku atakujący będą wykorzystywać RDP 82 procent czasu do rozpoznania sieci wewnętrznej, co oznacza wzrost z 69 procent w Jahr 2020.
Wspólne kombinacje narzędzi wykorzystywanych w atakach są wyraźnym znakiem ostrzegawczym przed cyberatakami. Badania incydentu badania incydentów ujawniły na przykład, że w 2021 roku 64 proc. PowerShell i złośliwe skrypty non-PowerShell były używane razem w 64 procentach były używane razem. PowerShell i Cobalt Strike zostały użyte w 56 procentach przypadków. PowerShell i PsExec zostały znalezione w połączeniu w 51 procentach przypadków. przypadków. Wykrycie takich korelacji może służyć jako Wykrycie takich korelacji może służyć jako wczesne ostrzeżenie o zbliżającym się ataku lub potwierdzenie obecności aktywnego ataku. aktywnego ataku.
50 procent incydentów ransomware obejmowało potwierdzoną eksfiltrację danych. potwierdzonej eksfiltracji danych. W przypadku dostępnych danych średni odstęp czasu między kradzieżą danych a użyciem oprogramowania ransomware wynosił 4,28 dnia. ransomware wynosił 4,28 dnia. 73 procent incydentów, na które Sophos odpowiedział w 2021 r. obejmowało ransomware. Z tych incydentów ransomware, 50 procent obejmowało również procent również obejmowało eksfiltrację danych. To przemieszczanie danych jest często końcową fazą ataku przed uwolnieniem ransomware.
Conti był najczęstszą grupą ransomware w 2021 roku, odpowiadając za 18 procent wszystkich incydentów. Grupa ransomware. Oprogramowanie ransomware REvil odpowiadała za jeden na dziesięć incydentów. Inne powszechne rodziny oprogramowania ransomware obejmują. DarkSide (RaaS stojący za niesławnym atakiem Colonial Pipeline w USA) oraz. Black KingDom, jedna z "nowych" grup, która pojawiła się w marcu 2021 roku w następstwie m.in. pojawienia się luki ProxyLogon. Spośród 144 incydentów uwzględnionych w analizie Sophos zidentyfikował 41 różnych napastników ransomware. Spośród nich 28 było nowymi aktorami zauważonymi po raz pierwszy w 2021 roku. Osiemnaście Grupy ransomware, które pojawiły się w incydentach w 2020 roku, nie były już na liście w 2021 roku. na liście w 2021 roku.
Sophos Active Adversary Playbook 2022 opiera się na. 144 incydentach z 2021 roku, skierowanych na przedsiębiorstwa wszystkich rozmiarów i branż w USA, Kanadzie, Wielkiej Brytanii, Niemczech, Włoszech, Hiszpanii, Francji, Szwajcarii, Belgii, Holandii, Austrii, Zjednoczonych Emiratów Arabskich, Arabii Saudyjskiej, Wlk. Emiratów Arabskich, Arabii Saudyjskiej, Filipin, Bahamów, Angoli i Japonii. ukierunkowane. Sektory o największej reprezentacji to produkcja (17 procent), a następnie handel detaliczny (14 procent), opieka zdrowotna (13 procent) (13 procent), IT (9 procent), budownictwo (8 procent) i edukacja (6 procent). (6 proc.).
Konkretne korzyści dla branży bezpieczeństwa IT
Celem raportu Sophos jest, aby zespoły bezpieczeństwa zrozumiały m.in.
jak cyberprzestępcy atakują oraz jak wykrywać i bronić się przed złośliwą aktywnością na
oraz jak wykrywać i bronić się przed złośliwą aktywnością w sieci. Jednym z rezultatów tych badań jest m.in.
coraz częstsze tworzenie tzw. ekosystemów bezpieczeństwa IT - strategii, która
Sophos realizuje również tę strategię za pomocą swojej strony Adaptive
Cybersecurity Ecosystem (ACE). Opiera się ona na zebranych
danych o zagrożeniach pochodzących z SophosLabs, Sophos Security Operations (człowiek
analityków zaangażowanych w tysiące środowisk klientów poprzez Sophos Managed Threat
środowisk klienckich poprzez program Sophos Managed Threat Response) oraz sztucznej inteligencji Sophos.
Sophos. Pojedyncze, zintegrowane jezioro danych łączy informacje ze wszystkich rozwiązań Sophos
rozwiązań i źródeł inteligencji zagrożeń. Analityka w czasie rzeczywistym
umożliwiają obrońcom zapobieganie włamaniom poprzez znalezienie podejrzanych sygnałów.
sygnały. Równolegle, otwarte API umożliwiają klientom, partnerom i
deweloperów do tworzenia narzędzi i rozwiązań, które współdziałają z systemem.
Wszystko jest centralnie zarządzane poprzez platformę Sophos Central Management.