Hlavní navigace

Sophos: Doba strávená útočníky v napadené síti se prodloužila o 36 %

13. 6. 2022
Doba čtení: 3 minuty

Sdílet

 Autor: Depositphotos
Nárůst je podle expertů na bezpečnost způsoben zneužíváním zranitelností ProxyLogon a ProxyShell, stejně jako zprostředkovateli počátečního přístupu.

Společnost Sophos zveřejnila studii Active Adversary Playbook 2022, z níž vyplynulo, že doba pobytu útočníka v napadené síti vzrostla o 36 %, přičemž medián doby pobytu útočníka činil v loňském roce 15 dní oproti 11 dnům v roce 2020.

Zpráva také odhaluje dopad zranitelností ProxyShell v Microsoft Exchange, které podle Sophosu někteří zprostředkovatelé počátečního přístupu (Initial Access Brokers, IAB) využívali k průniku do sítí a následnému prodeji tohoto přístupu dalším útočníkům.

IAB si vytvořili vlastní odvětví kybernetické kriminality, kdy prolomí obranu cíle, provedou průzkum nebo nainstalují zadní vrátka, a pak prodávají přístup na klíč ransomwarovým gangům pro jejich vlastní útoky,“ popisuje John Shier, hlavní bezpečnostní analytik a poradce společnosti Sophos.

Velké firmy, lákavější cíle

Z výzkumu dále vyplývá, že doba setrvání útočníka v prostředí menších organizací byla delší. V organizacích do 250 zaměstnanců se útočníci zdržovali přibližně 51 dní, zatímco v organizacích s 3 000 až 5 000 zaměstnanci obvykle strávili 20 dní.

Útočníci podle Shiera považují větší organizace za cennější cíle, takže mají větší motivaci dostat se dovnitř, získat, co chtějí, a odejít. Menší organizace mají pocitově nižší ‚hodnotu‘, takže si útočníci mohou dovolit číhat v síti na pozadí po delší dobu.

Je ale také možné, že tito útočníci byli méně zkušení a potřebovali více času, aby zjistili, co mají dělat, jakmile se ocitli uvnitř sítě. A konečně, menší organizace mají obvykle menší přehled o řetězci útoku, aby mohly útočníky odhalit a zastavit, což jejich přítomnost v síti prodlužuje,“ říká Shier.

Kumulace útoků není výjimkou

Studie rovněž uvádí, že medián doby pobytu útočníka v síti před jeho odhalením byl delší u „skrytých“ průniků, které se nerozvinuly do velkého útoku, jako je ransomware, stejně jako u menších organizací a průmyslových odvětví s menším počtem zdrojů pro zabezpečení IT.

Forenzní důkazy navíc odhalily případy, kdy se na stejnou organizaci současně zaměřilo více protivníků, včetně IAB, ransomwarových gangů, kryptominerů a příležitostně i více ransomwarových zločinců.

Sophos zjistil, že v roce 2020 útočníci použili RDP (Remote Desktop Protocol) k externím aktivitám ve 32 % analyzovaných případů, ale v roce 2021 se tento podíl snížil na 13 %.

Ačkoli je tento posun vítanou změnou a naznačuje, že organizace zlepšily správu externích útočných ploch, útočníci stále zneužívají RDP k interním úhybným manévrům. Sophos zjistil, že v roce 2021 útočníci využili RDP k interním úhybným manévrům v 82 % případů, což je nárůst oproti 69 % v roce 2020.

Data mizí rychle

Při vyšetřování incidentů bylo například zjištěno, že v roce 2021 byly skripty pro PowerShell, společně s ostatními škodlivými skripty, zaznamenány společně v 64 % případů; kombinace PowerShell a Cobalt Strike v 56 % případů a PowerShell a PsExec v 51 % případů.

Detekce těchto korelací může podle bezpečnostních expertů Sophosu sloužit jako včasné varování před hrozícím útokem nebo potvrdit přítomnost aktivního útoku.

Polovina ransomwarových incidentů podle studie zahrnovala potvrzené odcizení dat – a na základě dostupných údajů byl průměrný odstup mezi krádeží dat a nasazením ransomwaru 4,28 dne. Celkem 73 % incidentů, na které společnost Sophos reagovala v roce 2021, zahrnovalo ransomware.

Z těchto ransomwarových incidentů 50 % zahrnovalo také exfiltraci dat. Exfiltrace dat je často poslední fází útoku před spuštěním ransomwaru a vyšetřování incidentů odhalilo, že průměrná doba mezi těmito kroky byla 4,28 dne a medián 1,84 dne.

Útočné skupiny vznikají i zanikají

Sophos v neposlední řadě uvádí, že nejplodnější ransomwarovou skupinou zaznamenanou v roce 2021 byla Conti, která se celkem podílela na 18 % incidentů. Každý desátý ransomwarový incident způsobil REvil.

Ve 144 incidentech zahrnutých do analýzy bylo identifikováno 41 různých ransomwarových útočníků. Z nich přibližně 28 představovalo nové skupiny, které byly poprvé zaznamenány v průběhu roku 2021. Osmnáct ransomwarových skupin zaznamenaných v incidentech v roce 2020 pak v roce 2021 ze seznamu zmizelo.

Cloud22

Mezi indikátory, na které by si obránci měli dávat pozor, patří detekce legitimního nástroje, kombinace nástrojů nebo aktivity na neočekávaném místě nebo v neobvyklém čase,“ shrnuje Shier.

Zdroj: Sophos

Čtěte dále

Aitcom je Select Partnerem společnosti Schneider Electric
Aitcom je Select Partnerem společnosti Schneider Electric
Editorial: Vychází nový ChannelWorld aneb Distribuce v čase nových modelů
Editorial: Vychází nový ChannelWorld aneb Distribuce v čase nových modelů
Alza.cz obnovuje spolupráci s Heureka.cz, její nabídka se vrátí na srovnávač
Alza.cz obnovuje spolupráci s Heureka.cz, její nabídka se vrátí na srovnávač
Gartner: Globální dodávky PC letos klesnou bezmála o desetinu
Gartner: Globální dodávky PC letos klesnou bezmála o desetinu
VMware: Vývojáři by měli mít i obchodní dovednosti, podniky na ně v inzerátech zapomínají
VMware: Vývojáři by měli mít i obchodní dovednosti, podniky na ně v inzerátech zapomínají
Heureka: Česká e-commerce se blíží úrovni loňského roku
Heureka: Česká e-commerce se blíží úrovni loňského roku