По данным Sophos, время пребывания злоумышленников в сети увеличилось на 36%.

Компания Sophos выпустила справочник Active Adversary Playbook 2022, где подробно описаны модели поведения злоумышленников, выявленные группой быстрого реагирования Sophos в 2021 году. Согласно новым данным, в 2021 году среднее время пребывания злоумышленника в сети увеличилось на 36% до 15 дней. В 2020 году этот показатель составил 11 дней.

Отчет также показывает влияние уязвимости ProxyShell в Microsoft Exchange, которую, по мнению Sophos, некоторые брокеры начального доступа (IAB) использовали для взлома сетей и последующей продажи доступа другим злоумышленникам.

"Мир киберпреступности стал невероятно разнообразным и специализированным. IABs создали кустарную индустрию киберпреступности, проникая на объект, проводя исследовательскую разведку или устанавливая бэкдор, а затем продавая доступ «под ключ» бандам вымогателей для их собственных атак", - сказал Джон Шиер, старший советник по безопасности Sophos.

"В этом все более динамичном, специализированном ландшафте киберугроз организациям бывает трудно угнаться за постоянно меняющимися инструментами и подходами, которые используют злоумышленники. Защитникам крайне важно понимать, на что обращать внимание на каждом этапе цепочки атак, чтобы как можно быстрее обнаружить и нейтрализовать атаки".

Исследование также показало, что время пребывания злоумышленников в среде небольших организаций было более продолжительным. В организациях с численностью сотрудников до 250 человек время нахождения злоумышленников составляло примерно 51 день, а в компаниях со штатом от 3 000 до 5 000 человек - 20 дней.

"Злоумышленники считают крупные организации более ценными, поэтому у них больше мотивации проникнуть внутрь, получить желаемое и уйти. Небольшие организации имеют меньшую "ценность", а значит, злоумышленники могут позволить себе скрываться в сети в фоновом режиме в течение более длительного периода времени". Также возможно, что злоумышленники были менее опытными, и при проникновении в сеть им требовалось больше времени, чтобы понять, что делать, когда они окажутся внутри сети. Наконец, небольшие организации, как правило, меньше следят за цепочкой атак, чтобы обнаружить и устранить злоумышленников, тем самым затягивая их присутствие", - сказал Шиер.

"Возможности, открывающиеся благодаря непропатченным уязвимостям ProxyLogon и ProxyShell, а также рост числа IAB, позволяют нам все чаще видеть свидетельства присутствия нескольких злоумышленников в одной цели. Если сеть переполнена, злоумышленники стараются действовать быстро, чтобы обойти своих конкурентов".

Дополнительные ключевые выводы:

Среднее время пребывания злоумышленников до обнаружения было больше для "скрытых" вторжений, которые не переросли в крупную атаку, такую как ransomware, а также для небольших организаций и отраслевых секторов с меньшими ресурсами ИТ-безопасности. Для организаций, пострадавших от ransomware, среднее время обнаружения вторжения составило 11 дней. Для тех организаций, которые подверглись взлому, но еще не пострадали от крупной атаки, такой как ransomware (23% всех расследованных инцидентов), среднее время пребывания составило 34 дня. Организации в образовательном секторе или с числом сотрудников менее 500 человек также имели более длительное время пребывания.

Более длительное время пребывания и открытые точки входа делают организации уязвимыми для многочисленных злоумышленников. Судебная экспертиза выявила случаи, когда на одну и ту же организацию одновременно нападали несколько злоумышленников, включая брокеров первоначального доступа, банды, занимающиеся рассылкой вымогательских программ, криптомайнеров, а иногда даже несколько операторов вымогательских программ, одновременно атаковали одну и ту же организацию.

Несмотря на сокращение использования протокола удаленного рабочего стола (RDP - Remote Desktop Protocol) для внешнего доступа, злоумышленники стали чаще использовать этот инструмент для внутреннего бокового перемещения. В 2020 году злоумышленники использовали RDP для внешней активности в 32% проанализированных случаев, однако в 2021 году этот показатель снизился до 13%. Хоть этот сдвиг и является положительным моментом и говорит о том, что организации улучшили управление внешними поверхностями атак, злоумышленники по-прежнему злоупотребляют RDP для внутреннего латерального перемещения. По данным Sophos, в 2021 году злоумышленники использовали RDP для внутреннего латерального перемещения в 82% случаев, по сравнению с 69% в 2020 году.

Общие комбинации инструментов, используемые в атаках, служат мощным предупреждающим сигналом об активности злоумышленников. Например, в 2021 году в ходе расследования инцидентов выяснилось, что PowerShell и вредоносные скрипты, не относящиеся к PowerShell, встречались вместе в 64% случаев; PowerShell и Cobalt Strike - в 56% случаев; а PowerShell и PsExec - в 51% случаев. Обнаружение таких корреляций может служить ранним предупреждением о готовящейся атаке или подтвердить наличие активной атаки.

50% инцидентов с программами-вымогателями были связаны с подтвержденной утечкой данных, а средний промежуток времени между кражей данных и развертыванием программ-вымогателей составил 4,28 дня. 73% инцидентов, на которые Sophos отреагировала в 2021 году, были связаны с программами-вымогателями. Из этих инцидентов, 50% включали в себя утечку данных. Эксфильтрация данных часто является последней стадией атаки перед выпуском программы-вымогателя, и расследования инцидентов показали, что средний разрыв между этими этапами составил 4,28 дня, а медиана - 1,84 дня.

Conti была самой распространенной группой ransomware, замеченной в 2021 году. На нее пришлось 18% всех инцидентов. На долю вымогательского ПО REvil приходится каждый десятый инцидент, в то время как среди других распространенных семейств программ-вымогателей были DarkSide , RaaS, стоящий за известной атакой на Colonial Pipeline в США, и Black KingDom, одно из "новых" семейств вымогательского ПО, появившееся в марте 2021 года после обнаружения уязвимости ProxyLogon. В 144 инцидентах, включенных в анализ, был выявлен 41 различный противник ransomware. Из них около 28 были новыми группами, впервые появившимися в 2021 году. Восемнадцать групп ransomware, замеченных в инцидентах в 2020 году, исчезли из списка в 2021 году.