Хакеры обнаруживают и взламывают уязвимые облачные сервисы за 24 часа

Хакеры обнаруживают и взламывают уязвимые облачные сервисы за 24 часа

Злоумышленники скомпрометировали 96% из 80 ханипотов Postgres всего за 30 секунд.

Злоумышленники постоянно сканируют интернет на предмет незащищенных сервисов, которые могут быть использованы для доступа к внутренним сетям или выполнения вредоносных действий. Специалисты подразделения Unit 42 компании Palo Alto Networks установили 320 приманок с целью узнать, как быстро злоумышленники будут атаковать открытые облачные сервисы. По словам экспертов, 80% из приманок были взломаны менее чем за 24 часа.

Установленные приманки включали устройства с протоколами Remote Desktop Protocol (RDP), Secure Shell (SSH), Server Message Block (SMB) и службами баз данных Postgres и поддерживались с июля по август 2021 года. Ханипоты были развернуты по всему миру, в том числе в Северной Америке, Азиатско-Тихоокеанском регионе и Европе.

Среднее время взлома SSH-приманок, которые оказались наиболее уязвимыми, составило три часа. Между двумя последовательными атаками проходило около 2 часов. Как отметили специалисты, злоумышленники скомпрометировали 96% из 80 приманок Postgres всего за 30 секунд.

Подавляющее большинство (85%) IP-адресов злоумышленников наблюдались в течение одного дня, что указывает на редкое использование хакерами одного и того же IP-адреса снова (15% случаев). Постоянное изменение IP-адреса делает правила межсетевого экрана «уровня 3» неэффективными против большинства злоумышленников.

С большей вероятностью предотвратить атаки поможет блокировка IP-адресов путем извлечения данных из проектов сканирования Сети, которые ежедневно выявляют сотни тысяч вредоносных IP-адресов. Однако Unit 42 проверил эту гипотезу на подгруппе из 48 приманок и обнаружил, что блокировка более 700 тыс. IP-адресов не имеет существенной разницы в количестве атак между подгруппой и контрольной группой.

Для эффективной защиты облачных сервисов Unit 42 рекомендует администраторам создать защиту для предотвращения открытия привилегированных портов, создать правила аудита для мониторинга всех открытых портов и открытых сервисов, создать правила автоматического ответа и исправления ошибок конфигурации, а также установить межсетевые экраны нового поколения (WFA или серии VM).


Один хакер может причинить столько же вреда, сколько 10 000 солдат! Подпишись на наш Телеграм канал, чтобы узнать первым, как выжить в цифровом кошмаре!