Rannsóknir Sophos Active Adversary Playbook 2022 sýna að dvalartími netglæpamanna í netum fórnarlamba þeirra jókst um 36%

Sophos, leiðandi á heimsvísu í næstu kynslóð netöryggis, birti í dag "Active Adversary Playbook 2022 ", skýrslan sem dregur saman netglæpahegðun sem varð vart á þessu sviði af Sophos Rapid Response teyminu árið 2021.

Gögnin sem komu fram úr rannsókninni benda til a 36% aukning á þeim tíma sem netglæpamenn eru áfram innan viðkomandi kerfa árið 2021 að meðaltali 15 dagar samanborið við 11 árið 2020.

Skýrslan undirstrikar einnig áhrif ProxyShell varnarleysis innan Microsoft Exchange, sem Sophos telur að séu nýttir af sumum upphafsaðgangsmiðlarum (IAB) til að brjóta netkerfi og endurselja síðan aðgang sinn til annarra.

„Heimur netglæpa er orðinn ótrúlega fjölbreyttur og sérhæfður. The Upphaflegur aðgangsmiðlari (sem veita netglæpaiðnaðinum aðgang að upplýsingatæknikerfum fyrirtækja) hafa þróað raunverulegan iðnað sem hakkar sig inn í skotmark, kannar upplýsingatækniumhverfi sitt eða setur upp bakdyr og selur síðan aðgang að gengjum sem fást við það. ransomware útskýrir John Shier, háttsettur öryggisráðgjafi Sophos. „Í þessari sífellt kraftmeiri og sérhæfðari atburðarás getur verið erfitt fyrir fyrirtæki að halda í við þróun tækjanna og aðferðanna sem netglæpamenn nota. Það er nauðsynlegt að varnarmaðurinn viti hvað hann á að leita að á hverju stigi árásarröðarinnar, svo að þeir geti greint og óvirkt brotstilraunir eins fljótt og auðið er.

Rannsóknir Sophos sýna einnig að dvalartími boðflenna er lengri í upplýsingatækniumhverfi fyrirtækja en flestir lítill: um 51 dagur í raun með allt að 250 starfsmenn á móti 20 dögum hjá þeim sem eru með 3.000 til 5.000 starfsmenn.

„Netglæpamenn leggja meira gildi á stærri fyrirtæki, þannig að þeir eru hvattir til að komast inn, gera það sem þeir þurfa að gera og komast svo út. Minni fyrirtæki hafa lægra skynjað „virði“, svo árásarmenn hafa efni á að vera inni á netinu í lengri tíma. Það er líka mögulegt að í þessum tilfellum séu árásarmennirnir minna reyndir og taki því lengri tíma að finna út hvað eigi að gera þegar þeir eru komnir inn á netið. Lítil fyrirtæki hafa líka almennt minni sýn á árásarraðir og eiga þar af leiðandi erfiðara með að greina og gera brotið óvirkt og lengja þannig viðveru netglæpamanna,“ segir Shier. „Með þeim tækifærum sem skapast af óuppgerðum ProxyLogon og ProxyShell varnarleysi og útbreiðslu upphafsaðgangsmiðlara, erum við í auknum mæli að leita að mörgum árásarmönnum innan sama fórnarlambs. Ef það eru fleiri glæpamenn í neti, mun hver þeirra vilja bregðast við eins fljótt og auðið er til að sigra samkeppnina á réttum tíma.

 Meðal mikilvægustu gagna sem komu fram ber að taka fram:

• Miðgildi þess tíma sem netglæpamenn dvelja áður en þeir uppgötvast er lengri fyrir laumuspil sem koma ekki af stað augljósum árásum eins og lausnarhugbúnaði og fyrir lítil fyrirtæki og smærri fyrirtæki sem hafa færri upplýsingatækniöryggisauðlindir. Miðgildi dvalartíma í fyrirtækjum sem verða fyrir áhrifum af lausnarhugbúnaði er verið 11 dagar. Í ef um brot var að ræða sem ekki fylgdu augljósar árásir eins og lausnarhugbúnað (23% allra atvika sem greind voru), var miðgildið 34 dagar. Veruleiki sem tilheyrir skólageiranum eða með færri en 500 starfsmenn skráði enn lengri dvalartíma.

• Lengri dvalartími og opnir aðgangsstaðir skilja fyrirtæki eftir að verða fyrir mörgum árásum. Það voru vísbendingar um tilvik þar sem sama fyrirtæki varð fyrir árásum frá mörgum andstæðingum eins og IAB, klíkur sem sérhæfa sig í ransomware, dulritunarmenn og stundum jafnvel rekstraraðilar tengdir mörgum lausnarhugbúnaði.

• Þrátt fyrir minnkun á notkun Remote Desktop Protocol (RDP) fyrir utanaðkomandi aðgang, hafa árásarmenn aukið notkun þess fyrir innri hliðarhreyfingar. Árið 2020 var RDP notað fyrir utanaðkomandi starfsemi í 32% tilvika sem greind voru, talan lækkaði í 13% árið 2021. Þó að þessi breyting sé kærkomin og bendi til betri stjórnun fyrirtækja á ytri árásarflötum, halda netglæpamenn áfram að misnota RDP fyrir innri hliðarhreyfingar sínar. Sophos komst að því að notkun RDP fyrir innri hliðarhreyfingar átti sér stað í 82% tilvika sem greind voru árið 2021 stjórn il 69% del 2020

• Algengar samsetningar tækja sem notuð eru til að ráðast á eru viðvörunarmerki um óæskilega virkni. Til dæmis kom í ljós við greiningar á öryggisatvikum að fylgst var með forskriftum árið 2021 PowerShell og ekki PowerShell skaðleg forskrift saman 64% tilvika; PowerShell og Cobalt slá saman í 56% málanna; Og PowerShell og PsExec saman í 51% tilvika. Uppgötvun slíkra fylgni getur þjónað sem snemmbúin viðvörun um yfirvofandi árás eða sem staðfestingu á árás í gangi.

• 50% af lausnarhugbúnaðaratvikum sem komu fram fólu í sér útrýmingu gagna - og með tiltæk gögn var meðalbilið á milli þjófnaðar gagna og virkjun lausnarhugbúnaðar 4,28 dagar. 73% atvika sem Sophos greip inn í árið 2021 snerti lausnarhugbúnað. Þar af fólu 50% einnig í sér gagnasíun. Úthreinsun er oft síðasta stig árásar áður en lausnarhugbúnaður er virkjaður og atvikagreiningar reiknuðu út meðalbil milli atburðanna tveggja upp á 4,28 dagar með miðgildi 1,84 dagar.

• Conti það var klíkan afkastamesti lausnarhugbúnaðurinn meðal þeirra sem sáust árið 2021, ábyrgur fyrir 18% heildaratvika. Lausnarforritið LJÖLD tók þátt í 1 af hverjum 10 atvikum, en aðrar útbreiddar lausnarhugbúnaðarfjölskyldur voru það Dökk hlið, RaaS sekur um árásina á Colonial Pipeline í Bandaríkjunum, e Svarti konungur Dom, ein af „nýjum“ fjölskyldum lausnarhugbúnaðar sem birtist í mars 2021 í kjölfar ProxyLogon varnarleysisins. 41 mismunandi rekstraraðilar lausnarhugbúnaðar voru auðkenndir í þeim 144 atvikum sem greiningin nær yfir; af þeim eru 28 nýir hópar sem komu fyrst fram árið 2021. Átján glæpagengi sem báru ábyrgð á slysum árið 2020 hurfu af 2021 listanum

„Táknin sem ættu að vara stjórnendur upplýsingatækniöryggis við fela í sér uppgötvun tækis, blöndu af verkfærum eða athöfnum á óvæntum stað á netinu eða á óvæntu augnabliki,“ útskýrir Shier. „Það er þess virði að muna að það geta verið tímar þar sem lítil eða engin virkni er, en það þýðir ekki að fyrirtæki hafi ekki verið brotist inn. Líklega eru til dæmis mun fleiri ProxyLogon eða ProxyShell brot en nú er vitað, þar sem vefskeljar og bakdyr hafa verið settar upp til að fá viðvarandi aðgang og sem eru óvirkir þar til aðgangurinn er notaður eða endurseldur öðrum. . Nota þarf plástra til að laga mikilvægar villur, sérstaklega í vinsælum hugbúnaði og, sem forgangsverkefni, styrkja öryggi fjaraðgangsþjónustu. Þangað til óvarnum aðgangsstöðum er lokað og allt sem árásarmennirnir hafa gert til að koma á og viðhalda aðgangi hefur verið eytt, mun hver sem er geta farið inn með þeim og mun líklega gera það.

Sophos Active Adversary Playbook 2022 rannsóknin byggir á 144 atvikum sem áttu sér stað árið 2021 í fyrirtækjum af öllum stærðum og atvinnugreinum í eftirfarandi löndum: Bandaríkjunum, Kanada, Bretlandi, Þýskalandi, Ítalíu, Spáni, Frakklandi, Sviss, Belgíu, Hollandi, Austurríki, Sameinuðu arabísku furstadæmin, Sádi-Arabía, Filippseyjar, Bahamaeyjar, Angóla og Japan.

Flestar atvinnugreinar eru iðnaður (17%), verslun (14%), heilbrigðisþjónusta (13%), upplýsingatækni (9%), byggingarstarfsemi (8%) og skólar (6%).

Markmið Sophos skýrslunnar er að hjálpa netöryggisstjórum að skilja hvað andstæðingar þeirra eru að gera meðan á árásum stendur og hvernig á að greina og vernda sig gegn skaðlegri virkni sem dreifist á netinu. Fyrir frekari upplýsingar um hegðun, verkfæri og tækni netglæpamanna, sjá Sophos Active Adversary Playbook 2022 á Sophos News.