Това е времето, през което хакерите ще се крият във вашата мрежа, преди да внедрят рансъмуер или да бъдат забелязани

Кибератаките имат средно 11 дни след пробив на целевата мрежа, преди да бъдат открити, според британската фирма за сигурност Sophos – и често, когато бъдат забелязани, това е така, защото са внедрили рансъмуер.

Като изследователи на Софос бележка в нов доклад, това е повече от достатъчно време за нападателя да получи задълбочен преглед на това как изглежда целевата мрежа, къде се крият нейните слабости и за нападателите на рансъмуер да я разрушат.

Данните на Sophos, базирани на отговорите му на инциденти с клиенти, предполагат много по-кратко „време на престой“ за нападателите, отколкото данните от екипа за реагиране на инциденти на FireEye, Mandiant, наскоро съобщи. Mandiant каза, че средното време за откриване е 24 дни, което е подобрение спрямо предишните години.

Sophos обяснява относително краткото време на престой в данните си за реакция на инциденти, защото огромните 81% от инцидентите помогна на клиентите с включен рансъмуер – шумна атака, която веднага задейства аларми за техническите отдели. Така че, макар че по-краткото време на престой може да показва подобрение в така наречената поза за сигурност, това може да е и само защото криптиращият файл рансъмуер е разрушителна атака в сравнение с кражбата на данни.

„За да поставим това в контекст, 11 дни потенциално осигуряват на нападателите приблизително 264 часа за злонамерена дейност, като странично движение, разузнаване, изхвърляне на идентификационни данни, извличане на данни и други. Като се има предвид, че някои от тези дейности могат да отнемат само минути или няколко часа за изпълнение, 11 дни осигуряват на нападателите достатъчно време да нанесат щети “, отбелязва Софос в своя доклад на Active Adversary Playbook 2021.

По-голямата част от инцидентите, на които Sophos реагира, са атаки на рансъмуер, което предполага мащаба на проблема. Други атаки включват кражба на данни, криптомайнери, банкови троянски коне, чистачки за данни и използването на инструменти за тестване на проникване като Cobalt Strike.

Друг забележителен момент е широкото използване от атакуващите на протокола за отдалечен работен плот (RDP) с около 30% от атаките, започвайки с RDP и 69% от последващите дейности, извършвани с RDP. Фишингът, от друга страна, беше входната точка само за 12% от атаките, докато 10% от атаките включваха експлоатиране на незакърпена система.

Атаките срещу крайни точки на RDP отдавна се използват за иницииране на атаки на рансъмуер и са много по-чести от експлойти срещу VPN. Няколко охранителни фирми класираха RDP като най-големия вектор за проникване при инциденти с рансъмуер през 2020 г. Фирмата за сигурност ESET съобщи, че отдалечената работа е забелязала почти 800% скок в RDP атаките през 2020 г.

„RDP изигра роля в 90% от атаките. Заслужава да се отбележи начинът, по който нападателите са използвали RDP. При инциденти, които включват RDP, той е бил използван за външен достъп само само в 4% от случаите. Около една четвърт (28% ) от атаки показаха, че нападателите използват RDP както за външен достъп, така и за вътрешно движение, докато в 41% от случаите RDP е бил използван само за вътрешно странично движение в мрежата “, отбелязват изследователите на заплахата от Sophos.

Софос също съставя списък с най-често наблюдаваните групи за изкупване. DarkSide, нов, но професионален доставчик на услуги за изкупване, стартирал дейност в средата на 2020 г., представлява само 3% от случаите, разследвани от Sophos до 2020 г. Той е в центъра на вниманието заради атаката срещу Colonial Pipeline, която според съобщенията е платила 5 милиона долара на групата.

DarkSide предлага своя рансъмуер като услуга на други престъпни групи, които разпространяват рансъмуера, подобно на бандата за рансъмуер REvil. REvil беше в центъра на вниманието миналата година заради атаките срещу правителствени и здравни цели, както и заради високите си искания за откуп, които бяха средно около 260 000 долара.

Според Sophos REvil (известен още като Sodinokibi) е най-активната заплаха за рансъмуер през 2020 г. заедно с Ryuk, който според някои оценки е спечелил 150 милиона долара чрез ransomware.

Други значими играчи на рансъмуер, включително Dharma, Maze (не съществува), Ragnarok и Netwalker (не съществува).

Миналата седмица американският президент Джо Байдън заяви, че е обсъждал колониалната атака за изкупване с Москва и предложи Русия да предприеме “решителни действия” срещу тези нападатели. САЩ вярват, че DarkSide е базиран в Русия, но не е свързан с руското правителство.

„Били сме в пряка комуникация с Москва относно наложителността на отговорните държави да предприемат решителни действия срещу тези мрежи за изкупване“ – каза Байдън на 13 май.

Публикациите се превеждат автоматично с google translate

Източник: www.zdnet.com