• Technologie
  • Byznys
  • Software
  • Hardware
  • Internet
  • Telco
  • Science
  • České IT
  • Události
Žádné výsledky
Zobrazit všechny výsledky
ITBiz.cz
ITBiz.cz
Žádné výsledky
Zobrazit všechny výsledky

Doba strávená útočníky v napadené síti se prodloužila o 36 %

Redakce
13. 6. 2022
| Články

Initial Access Brokers i vytvořili vlastní odvětví kybernetické kriminality, kdy prolomí obranu, provedou průzkum nebo nainstalují zadní vrátka a pak prodávají přístup na klíč ransomwarovým gangům.

Sophos zveřejnil studii Active Adversary Playbook 2022, v níž podrobně popisuje chování útočníků, které tým Sophos Rapid Response zaznamenal v roce 2021. Zjištění ukazují 36% nárůst doby pobytu útočníka v napadené síti, přičemž medián doby pobytu útočníka činil v roce 2021 15 dní oproti 11 dnům v roce 2020. Zpráva také odhaluje dopad zranitelností ProxyShell v Microsoft Exchange, které někteří zprostředkovatelé počátečního přístupu (Initial Access Brokers, IAB) využívali k průniku do sítí a následnému prodeji tohoto přístupu dalším útočníkům.

„Svět kybernetické kriminality se stal neuvěřitelně rozmanitým a specializovaným. IAB si vytvořili vlastní odvětví kybernetické kriminality, kdy prolomí obranu cíle, provedou průzkum nebo nainstalují zadní vrátka a pak prodávají přístup na klíč ransomwarovým gangům pro jejich vlastní útoky,“ řekl John Shier, hlavní bezpečnostní analytik a poradce společnosti Sophos. „V tomto stále dynamičtějším, specializovaném prostředí kybernetických hrozeb může být pro organizace těžké udržet krok s neustále se měnícími nástroji a přístupy, které útočníci používají. Je nezbytné, aby obránci rozuměli tomu, na co se mají zaměřit v každé fázi řetězce útoku, aby mohli útoky co nejrychleji odhalit a neutralizovat.“

Z výzkumu společnosti Sophos dále vyplývá, že doba setrvání útočníka v prostředí menších organizací byla delší. V organizacích do 250 zaměstnanců se útočníci zdržovali přibližně 51 dní, zatímco v organizacích s 3 000 až 5 000 zaměstnanci obvykle strávili 20 dní.

„Útočníci považují větší organizace za cennější cíle, takže mají větší motivaci dostat se dovnitř, získat, co chtějí, a odejít. Menší organizace mají pocitově nižší hodnotu, takže si útočníci mohou dovolit číhat v síti na pozadí po delší dobu. Je ale také možné, že tito útočníci byli méně zkušení a potřebovali více času, aby zjistili, co mají dělat, jakmile se ocitli uvnitř sítě. A konečně, menší organizace mají obvykle menší přehled o řetězci útoku, aby mohly útočníky odhalit a zastavit, což jejich přítomnost v síti prodlužuje,“ uvádí J. Shier. „Díky příležitostem, které nabízejí neošetřené zranitelnosti ProxyLogon a ProxyShell, a nárůstu počtu IAB vidíme více případů, kdy jeden cíl napadne více útočníků. Pokud je v síti přeplněno, útočníci budou chtít postupovat rychle, aby předběhli konkurenci.“

Mezi další klíčové poznatky uvedené ve studii patří například:

• Medián doby pobytu útočníka v síti před jeho odhalením byl delší u „skrytých“ průniků, které se nerozvinuly do velkého útoku, jako je ransomware, stejně jako u menších organizací a průmyslových odvětví s menším počtem zdrojů pro zabezpečení IT. U organizací napadených ransomwarem byl medián doby zdržování se v síti 11 dní. U organizací, které byly napadeny, ale ještě nebyly zasaženy velkým útokem, jako je ransomware (23 % všech zkoumaných incidentů), byl medián doby přítomnosti v síti 34 dní. Delší doba setrvání útočníků v síti se týkala také organizací ze sektoru vzdělávání nebo organizací s méně než 500 zaměstnanci.
• Delší doba pobytu útočníků v síti a otevřené vstupní body činí organizace zranitelnými vůči více útočníkům. Forenzní důkazy odhalily případy, kdy se na stejnou organizaci současně zaměřilo více protivníků, včetně IAB, ransomwarových gangů, kryptominerů a příležitostně i více ransomwarových zločinců.
• Navzdory poklesu používání protokolu RDP (Remote Desktop Protocol) pro externí přístup útočníci častěji používají tento nástroj pro interní úhybné manévry. V roce 2020 útočníci použili RDP k externím aktivitám ve 32 % analyzovaných případů, ale v roce 2021 se tento podíl snížil na 13 %. Ačkoli je tento posun vítanou změnou a naznačuje, že organizace zlepšily správu externích útočných ploch, útočníci stále zneužívají RDP k interním úhybným manévrům. Sophos zjistil, že v roce 2021 útočníci využili RDP k interním úhybným manévrům v 82 % případů, což je nárůst oproti 69 % v roce 2020.
• Běžné kombinace nástrojů používaných při útocích poskytují silný varovný signál o aktivitě útočníků. Při vyšetřování incidentů bylo například zjištěno, že v roce 2021 byly skripty pro PowerShell, společně s ostatními škodlivými skripty, zaznamenány společně v 64 % případů; kombinace PowerShell a Cobalt Strike v 56 % případů a PowerShell a PsExec v 51 % případů. Detekce těchto korelací může sloužit jako včasné varování před hrozícím útokem nebo potvrdit přítomnost aktivního útoku.
• Polovina ransomwarových incidentů zahrnovala potvrzené odcizení dat – a na základě dostupných údajů byl průměrný odstup mezi krádeží dat a nasazením ransomwaru 4,28 dne. Třiasedmdesát procent incidentů, na které společnost Sophos reagovala v roce 2021, zahrnovalo ransomware. Z těchto ransomwarových incidentů 50 % zahrnovalo také exfiltraci dat. Exfiltrace dat je často poslední fází útoku před spuštěním ransomwaru a vyšetřování incidentů odhalilo, že průměrná doba mezi těmito kroky byla 4,28 dne a medián 1,84 dne.
• Neaktivnější ransomwarovou skupinou zaznamenanou v roce 2021 byla Conti, která se celkem podílela na 18 % incidentů. Každý desátý ransomwarový incident způsobil REvil, zatímco mezi další rozšířené rodiny ransomwaru patřily DarkSide, RaaS stojící za známým útokem na společnost Colonial Pipeline v USA, a Black KingDom, jedna z „nových“ rodin ransomwaru, která se objevila v březnu 2021 v souvislosti se zranitelností ProxyLogon. Ve 144 incidentech zahrnutých do analýzy bylo identifikováno 41 různých ransomwarových útočníků. Z nich přibližně 28 představovalo nové skupiny, které byly poprvé zaznamenány v průběhu roku 2021. Osmnáct ransomwarových skupin zaznamenaných v incidentech v roce 2020 pak v roce 2021 ze seznamu zmizelo.

„Stojí za zmínku, že mohou nastat i období, kdy je aktivita malá nebo žádná, ale to neznamená, že organizace nebyla napadena. Například je pravděpodobné, že existuje mnohem více zneužití zranitelností ProxyLogon nebo ProxyShell, o kterých se v současné době neví, kdy byly do cílů implantovány webové shelly a backdoory pro trvalý přístup a nyní tiše vyčkávají, dokud nebude tento přístup využit nebo prodán.“

Sophos Active Adversary Playbook 2022 vychází ze 144 incidentů, ke kterým došlo v roce 2021, a které byly zaměřeny na organizace všech velikostí v široké škále průmyslových odvětví.

Rubriky: Security

Související příspěvky

Bude 5G v budoucnosti motorem ekonomiky?
Zprávičky

T-Mobile měl v neděli výpadek služeb, podle operátora čelil kybernetickému útoku (aktualizáno)

27. 6. 2022
Zprávičky

Analýza: průměrné výkupné u kyberútoků je téměř 6 milionů korun

27. 6. 2022
Sophos představil XDR řešení pro synchronizované zabezpečení
Zprávičky

Slovenský operátor Slovak Telekom ohlásil potíže po kybernetickém útoku

27. 6. 2022
Ransomware stále hitem
Zprávičky

Hackeři ukradli digitální měny v hodnotě 100 milionů dolarů z blockchainového mostu

25. 6. 2022

Napsat komentář Zrušit odpověď na komentář

Vaše e-mailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *

Souhlasím se Zásadami ochrany osobních údajů .

Zprávičky

Bude 5G v budoucnosti motorem ekonomiky?

T-Mobile měl v neděli výpadek služeb, podle operátora čelil kybernetickému útoku (aktualizáno)

ČTK
27. 6. 2022

Operátor T-Mobile se v neděli potýkal s rozsáhlými výpadky svých služeb. Zákazníci měli problémy

Analýza: průměrné výkupné u kyberútoků je téměř 6 milionů korun

Pavel Houser
27. 6. 2022

Podle analýzy české společnosti ComSource je u ransomware útoků průměrné požadované výkupné 250 tisíc

Sophos představil XDR řešení pro synchronizované zabezpečení

Slovenský operátor Slovak Telekom ohlásil potíže po kybernetickém útoku

ČTK
27. 6. 2022

Nedělní kybernetický útok zasáhl interní IT systémy největšího slovenského telekomunikačního operátora Slovak Telekom, incident

Průzkum: Rozvoj do ciziny chystá 74 % českých e-shopů, část kvůli malému odbytu

ČTK
27. 6. 2022

Rozvoj do ciziny podle průzkumu společnosti Upgates plánuje 74 procent českých e-shopů, z toho

Ransomware stále hitem

Hackeři ukradli digitální měny v hodnotě 100 milionů dolarů z blockchainového mostu

ČTK
25. 6. 2022

Hackeři ukradli z jednoho z klíčových produktů americké kryptoměnové společnosti Harmony digitální měny v

Sophos představil XDR řešení pro synchronizované zabezpečení

NÚKIB: Opatření ohledně kyberbezpečnosti bude muset zavést 5000 firem

ČTK
25. 6. 2022

Opatření ohledně kybernetické bezpečnosti bude muset v Česku nově od poloviny roku 2024 přijmout

Ransomwarový útok stojí české oběti 8,25 milionu korun

Sophos: Počet ransomwarových útoků na zdravotnické organizace vzrostl v roce 2021 o 94 %

Pavel Houser
24. 6. 2022

Sophos zveřejnil novou studii ze sektoru zdravotnictví „The State of Ransomware in Healthcare 2022“.

Bude 5G v budoucnosti motorem ekonomiky?

Operátor O2 testuje v mobilní síti zrychlené 5G o rychlosti až 5 Gb/s

ČTK
24. 6. 2022

Operátor O2 testuje zvýšení rychlosti v mobilní síti 5G až na pět Gbit/s. V

Tiskové zprávy

Acronis: až pětina organizací zažije výpadek provozu v důsledku ransomwarového útoku

Škoda Auto zavádí privátní standalone 5G síť

Společnost Lenovo představila českému trhu budoucnost hybridní práce s prémiovými produkty Yoga

Atos v rámci 12. ročníku Ceny Josepha Fouriera ocenil mladé talenty v oblasti počítačových věd

Společnosti Avaya a Microsoft uzavřely strategické partnerství

GFI Software: nejúčinnější ochrana firemní sítě při práci z domova je VPN

Zpráva dne

Doživotní licence na Windows 10 za € 11, Office za € 23, v červnu s námi ušetříte až 91 %!

Doživotní licence na Windows 10 za € 11, Office za € 23, v červnu s námi ušetříte až 91 %!

Redakce
1. 6. 2022

Supernabídka od Goodoffer24 pokračuje i v červnu! Nejzajímavější z nabídek je bezpochyby doživotní licence na...

Odebírat newsletter

Zásady ochrany osobních údajů.

Zkontrolujte svoji doručenou poštu a potvrďte odběr.

Komentujeme

Chvála černých skřínek

Musk a Twitter, příběh robotických účtů

Pavel Houser
6. 6. 2022

Vztah mezi Elonem Muskem a Twitterem byl zásadní dávno před tím, než se Musk rozhodl firmu...

Slovník

HSDPA (High-Speed Downlink Packet Access)

Security manager

CATI

Nejpopulárnější články

SonicWall a Arcserve pro bezpečnost dat od partnerů distributora Entec

Jak jsme na tom s řízením kybernetické bezpečnosti

Richard Jan Voigts
27. 5. 2022

Vědci přišli na levnou výrobu nejlepšího grafenu

Pavel Houser
3. 6. 2022

Cloudové služby nejsou pro útočníky jen cílem, ale i prostředkem

Poptávka po odbornících na kyberbezpečnost strmě roste, stejně tak i jejich platy

Redakce
31. 5. 2022

Broadcom převezme VMware za 61 miliard dolarů

ČTK
26. 5. 2022

Téměř polovina finančních ředitelů považuje samoobslužná data a analytiku za hnací sílu produktivity zaměstnanců

Redakce
25. 5. 2022

Kategorie

  • Články
  • Komentujeme
  • Slovník
  • Tiskové zprávy
  • Zprávičky

Portál ITbiz.cz přináší informace z IT a byznysu již od roku 2006. Provozuje jej internetové vydavatelství Nitemedia. Hosting zajišťuje společnost Greenhousing.cz. Mezi další naše projekty patří například ABClinuxu.cz a Sciencemag.cz. Na stránce Redakce naleznete informace o redakci a možnostech inzerce.

Rubriky

Akce a události byz Byznys Cloud Ekomerce Hardware inter Internet Operační systémy Podnikový software Právo Rozhovory Science Security Technologie Telekomunikace Veřejná správa Vývoj a HTML Zpráva dne České IT

Píšeme jinde

RSS ScienceMag RSS

  • Umělá inteligence pomůže stanovit riziko sepse
  • Když člověk usne, nádor se probouzí
  • Rychlá diagnóza melanomu

RSS AbcLinuxu RSS

  • Mixbox, míchání barev dle modelu Kubelka-Munk
  • digiKam 7.7.0
  • ZombieTrackerGPS 1.11

Newsletter

Zásady ochrany osobních údajů.

Zkontrolujte svoji doručenou poštu a potvrďte odběr.

Žádné výsledky
Zobrazit všechny výsledky
  • Technologie
  • Byznys
  • Software
  • Hardware
  • Internet
  • Telco
  • Science
  • České IT
  • Události

© 2019 Vydává Nitemedia s.r.o. Hosting zajišťuje Greenhousing.cz.

Tento web používá cookies. Pokračováním dáváte souhlas s jejich používáním. Více na itbiz.cz/soukromi.