• Technologie
  • Byznys
  • Software
  • Hardware
  • Internet
  • Telco
  • Science
  • České IT
  • Události
Žádné výsledky
Zobrazit všechny výsledky
ITBiz.cz
ITBiz.cz
Žádné výsledky
Zobrazit všechny výsledky

Doba strávená útočníky v napadené síti se prodloužila o 36 %

Redakce
13. 6. 2022
| Články

Initial Access Brokers i vytvořili vlastní odvětví kybernetické kriminality, kdy prolomí obranu, provedou průzkum nebo nainstalují zadní vrátka a pak prodávají přístup na klíč ransomwarovým gangům.

Sophos zveřejnil studii Active Adversary Playbook 2022, v níž podrobně popisuje chování útočníků, které tým Sophos Rapid Response zaznamenal v roce 2021. Zjištění ukazují 36% nárůst doby pobytu útočníka v napadené síti, přičemž medián doby pobytu útočníka činil v roce 2021 15 dní oproti 11 dnům v roce 2020. Zpráva také odhaluje dopad zranitelností ProxyShell v Microsoft Exchange, které někteří zprostředkovatelé počátečního přístupu (Initial Access Brokers, IAB) využívali k průniku do sítí a následnému prodeji tohoto přístupu dalším útočníkům.

„Svět kybernetické kriminality se stal neuvěřitelně rozmanitým a specializovaným. IAB si vytvořili vlastní odvětví kybernetické kriminality, kdy prolomí obranu cíle, provedou průzkum nebo nainstalují zadní vrátka a pak prodávají přístup na klíč ransomwarovým gangům pro jejich vlastní útoky,“ řekl John Shier, hlavní bezpečnostní analytik a poradce společnosti Sophos. „V tomto stále dynamičtějším, specializovaném prostředí kybernetických hrozeb může být pro organizace těžké udržet krok s neustále se měnícími nástroji a přístupy, které útočníci používají. Je nezbytné, aby obránci rozuměli tomu, na co se mají zaměřit v každé fázi řetězce útoku, aby mohli útoky co nejrychleji odhalit a neutralizovat.“

Z výzkumu společnosti Sophos dále vyplývá, že doba setrvání útočníka v prostředí menších organizací byla delší. V organizacích do 250 zaměstnanců se útočníci zdržovali přibližně 51 dní, zatímco v organizacích s 3 000 až 5 000 zaměstnanci obvykle strávili 20 dní.

„Útočníci považují větší organizace za cennější cíle, takže mají větší motivaci dostat se dovnitř, získat, co chtějí, a odejít. Menší organizace mají pocitově nižší hodnotu, takže si útočníci mohou dovolit číhat v síti na pozadí po delší dobu. Je ale také možné, že tito útočníci byli méně zkušení a potřebovali více času, aby zjistili, co mají dělat, jakmile se ocitli uvnitř sítě. A konečně, menší organizace mají obvykle menší přehled o řetězci útoku, aby mohly útočníky odhalit a zastavit, což jejich přítomnost v síti prodlužuje,“ uvádí J. Shier. „Díky příležitostem, které nabízejí neošetřené zranitelnosti ProxyLogon a ProxyShell, a nárůstu počtu IAB vidíme více případů, kdy jeden cíl napadne více útočníků. Pokud je v síti přeplněno, útočníci budou chtít postupovat rychle, aby předběhli konkurenci.“

Mezi další klíčové poznatky uvedené ve studii patří například:

• Medián doby pobytu útočníka v síti před jeho odhalením byl delší u „skrytých“ průniků, které se nerozvinuly do velkého útoku, jako je ransomware, stejně jako u menších organizací a průmyslových odvětví s menším počtem zdrojů pro zabezpečení IT. U organizací napadených ransomwarem byl medián doby zdržování se v síti 11 dní. U organizací, které byly napadeny, ale ještě nebyly zasaženy velkým útokem, jako je ransomware (23 % všech zkoumaných incidentů), byl medián doby přítomnosti v síti 34 dní. Delší doba setrvání útočníků v síti se týkala také organizací ze sektoru vzdělávání nebo organizací s méně než 500 zaměstnanci.
• Delší doba pobytu útočníků v síti a otevřené vstupní body činí organizace zranitelnými vůči více útočníkům. Forenzní důkazy odhalily případy, kdy se na stejnou organizaci současně zaměřilo více protivníků, včetně IAB, ransomwarových gangů, kryptominerů a příležitostně i více ransomwarových zločinců.
• Navzdory poklesu používání protokolu RDP (Remote Desktop Protocol) pro externí přístup útočníci častěji používají tento nástroj pro interní úhybné manévry. V roce 2020 útočníci použili RDP k externím aktivitám ve 32 % analyzovaných případů, ale v roce 2021 se tento podíl snížil na 13 %. Ačkoli je tento posun vítanou změnou a naznačuje, že organizace zlepšily správu externích útočných ploch, útočníci stále zneužívají RDP k interním úhybným manévrům. Sophos zjistil, že v roce 2021 útočníci využili RDP k interním úhybným manévrům v 82 % případů, což je nárůst oproti 69 % v roce 2020.
• Běžné kombinace nástrojů používaných při útocích poskytují silný varovný signál o aktivitě útočníků. Při vyšetřování incidentů bylo například zjištěno, že v roce 2021 byly skripty pro PowerShell, společně s ostatními škodlivými skripty, zaznamenány společně v 64 % případů; kombinace PowerShell a Cobalt Strike v 56 % případů a PowerShell a PsExec v 51 % případů. Detekce těchto korelací může sloužit jako včasné varování před hrozícím útokem nebo potvrdit přítomnost aktivního útoku.
• Polovina ransomwarových incidentů zahrnovala potvrzené odcizení dat – a na základě dostupných údajů byl průměrný odstup mezi krádeží dat a nasazením ransomwaru 4,28 dne. Třiasedmdesát procent incidentů, na které společnost Sophos reagovala v roce 2021, zahrnovalo ransomware. Z těchto ransomwarových incidentů 50 % zahrnovalo také exfiltraci dat. Exfiltrace dat je často poslední fází útoku před spuštěním ransomwaru a vyšetřování incidentů odhalilo, že průměrná doba mezi těmito kroky byla 4,28 dne a medián 1,84 dne.
• Neaktivnější ransomwarovou skupinou zaznamenanou v roce 2021 byla Conti, která se celkem podílela na 18 % incidentů. Každý desátý ransomwarový incident způsobil REvil, zatímco mezi další rozšířené rodiny ransomwaru patřily DarkSide, RaaS stojící za známým útokem na společnost Colonial Pipeline v USA, a Black KingDom, jedna z „nových“ rodin ransomwaru, která se objevila v březnu 2021 v souvislosti se zranitelností ProxyLogon. Ve 144 incidentech zahrnutých do analýzy bylo identifikováno 41 různých ransomwarových útočníků. Z nich přibližně 28 představovalo nové skupiny, které byly poprvé zaznamenány v průběhu roku 2021. Osmnáct ransomwarových skupin zaznamenaných v incidentech v roce 2020 pak v roce 2021 ze seznamu zmizelo.

„Stojí za zmínku, že mohou nastat i období, kdy je aktivita malá nebo žádná, ale to neznamená, že organizace nebyla napadena. Například je pravděpodobné, že existuje mnohem více zneužití zranitelností ProxyLogon nebo ProxyShell, o kterých se v současné době neví, kdy byly do cílů implantovány webové shelly a backdoory pro trvalý přístup a nyní tiše vyčkávají, dokud nebude tento přístup využit nebo prodán.“

Sophos Active Adversary Playbook 2022 vychází ze 144 incidentů, ke kterým došlo v roce 2021, a které byly zaměřeny na organizace všech velikostí v široké škále průmyslových odvětví.

Rubriky: Security

Související příspěvky

Sophos představil XDR řešení pro synchronizované zabezpečení
Články

Analýza Fortinet: Počet kybernetických útoků roste rekordní rychlostí kvůli hackerům, kteří využívají AI

8. 5. 2025
Zprávičky

Antivirová společnost Gen Digital zvýšila celoroční provozní zisk o 45 %

7. 5. 2025
Zprávičky

Německo postihl rozsáhlý výpadek komunikačního systému pro policii či hasiče

6. 5. 2025
Největší zájem o veřejný cloud mají poskytovatelé služeb, výrobní firmy a překvapivě i banky
Články

HPE přichází s novými cloudovými bezpečnostními řešeními pro sítě s nulovou důvěrou a privátní cloudy

6. 5. 2025

Zprávičky

Vláda projedná novelu, která zpřesní pravomoci NÚKIB

Google zaplatí státu Texas 1,4 miliardy USD kvůli shromažďování osobních údajů

ČTK
11. 5. 2025

Americký internetový gigant Google se dohodl, že zaplatí státu Texas 1,375 miliardy dolarů (přes

Průzkum: Většina českých investorů o kryptoměny neprojevuje velký zájem

ČTK
10. 5. 2025

Většina českých investorů neprojevuje o kryptoměny, zejména bitcoin, velký zájem a klesá i důvěra

Kryptoměny a jejich ekonomika

Cena bitcoinu se vrátila nad hranici 100 000 dolarů

ČTK
9. 5. 2025

Cena nejznámější kryptoměny bitcoin se včera poprvé od února vrátila nad hranici 100.000 dolarů

Trump chce zrušit Bidenovo omezení na vývoz pokročilých čipů

ČTK
8. 5. 2025

Administrativa amerického prezidenta Donalda Trumpa plánuje zrušit omezení vývozu pokročilých počítačových polovodičů, které zavedl

Brusel žaluje pět zemí EU včetně Česka za nedostatečné provádění nařízení DSA (aktualizováno)

ČTK
7. 5. 2025

Evropská komise (EK) se rozhodla zažalovat Českou republiku, Španělsko, Kypr, Polsko a Portugalsko za

Antivirová společnost Gen Digital zvýšila celoroční provozní zisk o 45 %

ČTK
7. 5. 2025

Antivirová společnost Gen Digital, která vznikla spojením české firmy Avast s americkou NortonLifeLock, ve

Prodej amerického komunikačního vybavení Česku se týká kryptografických zařízení

ČTK
7. 5. 2025

Prodej vojenského komunikačního vybavení České republice v hodnotě 181 milionů dolarů (zhruba čtyři miliardy

Německo postihl rozsáhlý výpadek komunikačního systému pro policii či hasiče

ČTK
6. 5. 2025

Německo dnes podle agentury DPA postihl rozsáhlý výpadek šifrovaného komunikačního systému využívaného policií, hasiči,

Tiskové zprávy

Partnerství společností Nutanix a Pure Storage přinese zákazníkům větší možnosti volby díky novému integrovanému řešení pro kritické pracovní úlohy

Speciální polep Ferrari pro Miami: technologie a design v podání HP

Nadace Mission 44 Lewise Hamiltona a HP podpoří dovednosti mladých v oblasti přírodních a technických věd

Během posledních 48 hodin zachytila VZP rozeslání až 100 tisíc podvodných e-mailů

S barefooty chce dobýt svět. Be Lenka proto nasazuje systém od SAP, který rok ladila s českým ACTUM Digital

Synology oznamuje DiskStation DS925+ a rozšiřující jednotku DX525

Zpráva dne

Nešlehejte vejce ale Windows 11 na Goodofer24 jen za €20.00!

Nešlehejte vejce ale Windows 11 na Goodofer24 jen za €20.00!

Redakce
15. 4. 2025

Ať už máte PC se starším systémem Windows, nebo si stavíte PC podle vašich...

Videa ITBiz.cz

Glenn Mallon, Dell Technologies

Elektronická recepční

FORXAI Mirror

Kamery pro průmysl a detekci požárů

Kamery pro vyhodnocení spokojenosti zákazníků

Kalendář

Kvě 13
Celý den

Cloud Computing Conference

Kvě 27
Celý den

Kontajnery v praxi

Říj 1
Celý den

Cyber Attacks

Zobrazit kalendář

Komentujeme

Chvála černých skřínek

Malé modely AI mají být velkým trendem

Pavel Houser
3. 1. 2025

V záplavě prognóz technologického vývoje (nejen) v roce 2025 zde prozatím trochu zapadlo jedno téma, které...

Odebírat newsletter

Zásady ochrany osobních údajů.

Zkontrolujte svoji doručenou poštu a potvrďte odběr.

Slovník

Store manager

Delphi

Mzda

Kategorie

  • Články
  • Komentujeme
  • Slovník
  • Tiskové zprávy
  • Zprávičky

Portál ITbiz.cz přináší informace z IT a byznysu již od roku 2006. Provozuje jej internetové vydavatelství Nitemedia. Hosting zajišťuje společnost Greenhousing.cz. Mezi další naše projekty patří například ABClinuxu.cz a Sciencemag.cz. Na stránce Redakce naleznete informace o redakci a možnostech inzerce.

Rubriky

Akce a události Byznys Cloud Ekomerce Hardware Internet Operační systémy Podnikový software Právo Science Security Technologie Telekomunikace Veřejná správa Vývoj a HTML Zpráva dne České IT

Píšeme jinde

RSS ScienceMag RSS

  • Týden na ITBiz: Fujitsu a Riken hlásí milník v kvantových počítačích
  • Na Kennedyho středisku otestovali v terénu techniku pro přesné přistávání na Měsíci
  • DNA ze starověkého sýra ukazuje evoluci laktobacilů

RSS AbcLinuxu RSS

  • Vývoj renderovacího jádra Servo za uplynulé dva měsíce
  • Raspberry Pi Connect 2.5
  • 1272 projektů (vývojářů) přijatých do Google Summer of Code 2025

Newsletter

Zásady ochrany osobních údajů.

Zkontrolujte svoji doručenou poštu a potvrďte odběr.

Žádné výsledky
Zobrazit všechny výsledky
  • Technologie
  • Byznys
  • Software
  • Hardware
  • Internet
  • Telco
  • Science
  • České IT
  • Události

© 2019 Vydává Nitemedia s.r.o. Hosting zajišťuje Greenhousing.cz.

Tento web používá cookies. Pokračováním dáváte souhlas s jejich používáním. Více na itbiz.cz/soukromi.