Společnost Sophos zveřejnila studii Active Adversary Playbook 2022, z níž vyplynulo, že doba pobytu útočníka v napadené síti vzrostla o 36 %, přičemž medián doby pobytu útočníka činil v loňském roce 15 dní oproti 11 dnům v roce 2020.
Zpráva také odhaluje dopad zranitelností ProxyShell v Microsoft Exchange, které podle Sophosu někteří zprostředkovatelé počátečního přístupu (Initial Access Brokers, IAB) využívali k průniku do sítí a následnému prodeji tohoto přístupu dalším útočníkům.
„IAB si vytvořili vlastní odvětví kybernetické kriminality, kdy prolomí obranu cíle, provedou průzkum nebo nainstalují zadní vrátka, a pak prodávají přístup na klíč ransomwarovým gangům pro jejich vlastní útoky,“ popisuje John Shier, hlavní bezpečnostní analytik a poradce společnosti Sophos.
Velké firmy, lákavější cíle
Z výzkumu dále vyplývá, že doba setrvání útočníka v prostředí menších organizací byla delší. V organizacích do 250 zaměstnanců se útočníci zdržovali přibližně 51 dní, zatímco v organizacích s 3 000 až 5 000 zaměstnanci obvykle strávili 20 dní.
Útočníci podle Shiera považují větší organizace za cennější cíle, takže mají větší motivaci dostat se dovnitř, získat, co chtějí, a odejít. Menší organizace mají pocitově nižší ‚hodnotu‘, takže si útočníci mohou dovolit číhat v síti na pozadí po delší dobu.
„Je ale také možné, že tito útočníci byli méně zkušení a potřebovali více času, aby zjistili, co mají dělat, jakmile se ocitli uvnitř sítě. A konečně, menší organizace mají obvykle menší přehled o řetězci útoku, aby mohly útočníky odhalit a zastavit, což jejich přítomnost v síti prodlužuje,“ říká Shier.
Kumulace útoků není výjimkou
Studie rovněž uvádí, že medián doby pobytu útočníka v síti před jeho odhalením byl delší u „skrytých“ průniků, které se nerozvinuly do velkého útoku, jako je ransomware, stejně jako u menších organizací a průmyslových odvětví s menším počtem zdrojů pro zabezpečení IT.
Forenzní důkazy navíc odhalily případy, kdy se na stejnou organizaci současně zaměřilo více protivníků, včetně IAB, ransomwarových gangů, kryptominerů a příležitostně i více ransomwarových zločinců.
Sophos zjistil, že v roce 2020 útočníci použili RDP (Remote Desktop Protocol) k externím aktivitám ve 32 % analyzovaných případů, ale v roce 2021 se tento podíl snížil na 13 %.
Ačkoli je tento posun vítanou změnou a naznačuje, že organizace zlepšily správu externích útočných ploch, útočníci stále zneužívají RDP k interním úhybným manévrům. Sophos zjistil, že v roce 2021 útočníci využili RDP k interním úhybným manévrům v 82 % případů, což je nárůst oproti 69 % v roce 2020.
Data mizí rychle
Při vyšetřování incidentů bylo například zjištěno, že v roce 2021 byly skripty pro PowerShell, společně s ostatními škodlivými skripty, zaznamenány společně v 64 % případů; kombinace PowerShell a Cobalt Strike v 56 % případů a PowerShell a PsExec v 51 % případů.
Detekce těchto korelací může podle bezpečnostních expertů Sophosu sloužit jako včasné varování před hrozícím útokem nebo potvrdit přítomnost aktivního útoku.
Polovina ransomwarových incidentů podle studie zahrnovala potvrzené odcizení dat – a na základě dostupných údajů byl průměrný odstup mezi krádeží dat a nasazením ransomwaru 4,28 dne. Celkem 73 % incidentů, na které společnost Sophos reagovala v roce 2021, zahrnovalo ransomware.
Z těchto ransomwarových incidentů 50 % zahrnovalo také exfiltraci dat. Exfiltrace dat je často poslední fází útoku před spuštěním ransomwaru a vyšetřování incidentů odhalilo, že průměrná doba mezi těmito kroky byla 4,28 dne a medián 1,84 dne.
Útočné skupiny vznikají i zanikají
Sophos v neposlední řadě uvádí, že nejplodnější ransomwarovou skupinou zaznamenanou v roce 2021 byla Conti, která se celkem podílela na 18 % incidentů. Každý desátý ransomwarový incident způsobil REvil.
Ve 144 incidentech zahrnutých do analýzy bylo identifikováno 41 různých ransomwarových útočníků. Z nich přibližně 28 představovalo nové skupiny, které byly poprvé zaznamenány v průběhu roku 2021. Osmnáct ransomwarových skupin zaznamenaných v incidentech v roce 2020 pak v roce 2021 ze seznamu zmizelo.
„Mezi indikátory, na které by si obránci měli dávat pozor, patří detekce legitimního nástroje, kombinace nástrojů nebo aktivity na neočekávaném místě nebo v neobvyklém čase,“ shrnuje Shier.
Zdroj: Sophos
