Společnost Sophos zveřejnila studii Active Adversary Report for Tech Leaders 2023, která přináší detailní pohled na chování a nástroje útočníků během první poloviny roku 2023. Jedním z jejích závěrů je, že průměrná doba pobytu útočníka v síti od zahájení útoku do jeho odhalení se letos zkrátila z 10 na 8 dní, přičemž v roce 2022 se medián doby pohybu v síti snížil z 15 na 10 dní.
Studie dále uvádí, že útočníkům v průměru trvalozhruba 16 hodin než získali přístup ke službě Active Directory (AD), která je pro společnost jedním z nejdůležitějších aktiv, neboť obvykle spravuje identity a přístupy ke zdrojům v rámci organizace, což znamená, že útočníci mohou AD využít ke snadnému zvýšení svých oprávnění v systému a k provádění široké škály škodlivých aktivit.
„Útok na infrastrukturu Active Directory organizace dává z pohledu útočníků smysl. AD je obvykle nejdůležitější a nejprivilegovanější systém v síti. Pokud útočník získá kontrolu nad AD, může ovládnout celou organizaci. Na Active Directory se útočníci zaměřují právě kvůli dopadu, eskalaci a nákladům na obnovu,“ komentuje John Shier, technický ředitel Sophosu.
Oběti vlastního úspěchu
I doba odhalení ransomwarových útoků, které tvoří téměř 70 % případů analyzovaných Sophosem, se zkracuje. Medián trvání těchto útoků v současnosti činí pouhých pět dní, přičemž v 81 % případů bylo šifrování spuštěno mimo tradiční pracovní dobu. Téměř polovina (43 %) ransomwarových útoků byla detekována v pátek nebo v sobotu.
„V určitém ohledu jsme se stali obětí vlastního úspěchu. S rostoucím využíváním XDR a MDR roste naše schopnost odhalovat útoky dříve. Zkrácení doby detekce vede k rychlejší reakci, což znamená kratší operační okno pro útočníky. Zločinci tak současně zdokonalují své postupy,“ komentuje John Shier
Zdroj: Sophos
