Až 38 % „rychlých“ ransomwarových útoků popisovaných ve studii proběhlo do 5 dnů od prvotního přístupu do sítě. „Rychlé“ ransomwarové útoky brání včasné reakci obránců.
Sophos představil studii Active Adversary Report for Security Practitioners, která zjistila, že telemetrické záznamy chyběly v téměř 42 % zkoumaných případů útoků. V 82 % z těchto případů kyberzločinci telemetrii vypnuli nebo vymazali, aby po sobě zametli stopy. Studie zahrnuje případy reakcí na incidenty, které společnost Sophos analyzovala od ledna 2022 do první poloviny roku 2023.
Mezery v telemetrii omezují tolik potřebný přehled o dění v sítích a systémech organizací, zejména proto, že doba pohybu útočníka v síti (tedy doba od počátečního přístupu do detekci) se stále zkracuje. Tím se zkracuje i doba, kterou mají obránci na účinnou reakci na incident.
„Při reakci na aktivní hrozbu je rozhodující čas. Doba mezi zjištěním počátečního přístupu a úplným odvrácením hrozby by měla být co nejkratší. Čím dále v řetězci útoku se útočník dostane, tím větší budou mít obránci problémy. Chybějící telemetrie jen prodlužuje dobu nápravy, a to si většina organizací nemůže dovolit. Proto je nezbytné úplné a přesné logování. Až příliš často se ale setkáváme s tím, že organizace nemají potřebná data k dispozici,“ řekl John Shier, technický ředitel společnosti Sophos.
Sophos ve své studii klasifikuje ransomwarové útoky s dobou pohybu v síti kratší nebo rovnou pěti dnům jako „rychlé“, a ty tvořily 38 % zkoumaných případů. „Pomalé“ ransomwarové útoky jsou takové, při kterých se útočníci zdrželi v síti déle než pět dní. Ty představují 62 % případů.
Při zkoumání těchto „rychlých“ a „pomalých“ ransomwarových útoků na detailní úrovni se nástroje, techniky a binární soubory typu LOLBins (living-off-the-land), které útočníci nasadili, příliš nelišily, což naznačuje, že obránci nemusí se zkracující se dobou pohybu útočníků v síti vymýšlet nové obranné strategie. Obránci si ale musí uvědomit, že rychlé útoky by mohly ztížit včasnou reakci, což by vedlo k větší destrukci.
„Kyberzločinci inovují, jen když musí, a jen do té míry, aby se dostali ke svému cíli. Útočníci nezmění to, co funguje, i když se v době od proniknutí do sítě po detekci pohybují rychleji. To je pro organizace dobrá zpráva, protože nemusí radikálně měnit svou obrannou strategii, přestože útočníci postupují rychleji. Stejná obrana, která detekuje rychlé útoky, se použije na všechny incidenty bez ohledu na rychlost. To zahrnuje kompletní telemetrii, komplexní ochranu a všudypřítomné monitorování,“ řekl Shier. „Klíčem k úspěchu je zkomplikovat útok jakkoli je to možné. Pokud útočníkům ztížíte práci, můžete získat cenný čas na reakci a prodloužit každou fázi útoku.“
„Pokud například zkomplikujete ransomwarový útok, můžete oddálit dobu do exfiltrace dat,“ radí Shier. „Exfiltrace přitom často nastává těsně před detekcí a je také často tou nejnákladnější částí útoku. To se stalo ve dvou případech ransomwarových útoků skupiny Cuba. Jedna ze společností měla zavedeno nepřetržité monitorování pomocí MDR, takže jsme byli schopni odhalit škodlivou aktivitu a zastavit útok během několika hodin, abychom zabránili krádeži dat. Druhá společnost takový bezpečnostní prvek neměla, a útok zaznamenala až několik týdnů po prvotním přístupu a poté, co skupina Cuba již úspěšně exfiltrovala 75 gigabajtů citlivých dat. Teprve pak zavolali náš tým pro reakci na incidenty, a ještě o měsíc později se stále snažili vrátit k běžnému provozu.“