Неделя - слишком большой срок чтобы предотвратить ущерб от шифровальщиков, которые предоставляются в аренду всем желающим в интернете.
По данным британской компании Sophos, в среднем у атакующих есть 11 дней после взлома целевой сети, прежде чем они будут обнаружены и часто, когда их обнаруживают, это происходит только потому, что они уже развернули шифровальщика.
Как отмечают исследователи Sophos в новом отчете, этого времени более чем достаточно для получения злоумышленниками полного представления о целевой сети, ее слабых местах и подходящих методах ее атаки.
Данные Sophos, основанные на сообщениях клиентов об инцидентах, свидетельствуют о гораздо меньшем времени пребывания злоумышленников, чем данные группы реагирования на инциденты Mandiant компании FireEye. Mandiant заявляет, что среднее время до обнаружения атаки составляет 24 дня, что является улучшением по сравнению с предыдущими годами.
Sophos объясняет относительно короткое время пребывания в данных по реагированию на инциденты тем, что 81% инцидентов, с которыми она помогала клиентам, были связаны с шифровальщиками - шумными атаками, которые сразу же вызывают тревогу у технических отделов. Таким образом, хотя сокращение времени реагирования может свидетельствовать об улучшении так называемой «позиции безопасности», это также может быть просто потому, что шифрующие файлы программы-вымогатели - это крайне разрушительная атака по сравнению с тихой кражей данных.
«Чтобы представить это в контексте, 11 дней потенциально дают злоумышленникам около 264 часов для вредоносной деятельности, такой как латеральное перемещение, разведка, кража учетных данных, извлечение данных и многое другое. Учитывая, что некоторые из этих действий могут занять всего несколько минут или часов, 11 дней дают злоумышленникам достаточно времени для нанесения любого ущерба», - отмечает Sophos в своем отчете «Active Adversary Playbook 2021».
Подавляющее большинство инцидентов, на которые отреагировала команда Sophos, были атаками шифровальщиков, что говорит о масштабах проблемы. Среди других атак - кража данных, криптомайнеры, банковские трояны, программы для стирания данных и атаки с использованием инструментов тестирования на проникновение, таких как Cobalt Strike.
Еще одним примечательным моментом является широкое использование злоумышленниками протокола удаленного рабочего стола (RDP): около 30% атак начинаются с RDP, а 69% последующих действий осуществляются с помощью RDP. Фишинг, с другой стороны, был точкой входа только для 12% атак, а 10% атак были связаны с использованием непропатченных систем.
Атаки на RDP уже давно используются для инициирования атак шифровальщиков и встречаются гораздо чаще, чем атаки на VPN. Несколько компаний по безопасности назвали RDP главным вектором вторжения для инцидентов с шифрованием в 2020 году. Компания ESET, специализирующаяся на безопасности, сообщила, что в 2020 году число атак на RDP увеличилось почти на 800%.
«RDP используется в 90% атак. Однако стоит обратить внимание на то, как злоумышленники использовали RDP. В инцидентах он использовался для внешнего доступа только в 4% случаев. Примерно в четверти (28%) атак злоумышленники использовали RDP как для внешнего доступа, так и для внутреннего перемещения, а в 41% случаев RDP использовался только для внутреннего перемещения в сети», - отмечают исследователи угроз Sophos.
Sophos также составила список наиболее распространенных групп шифровальщиков. На долю DarkSide, нового, но профессионального поставщика услуг ransomware-as-a-service, начавшего свою деятельность в середине 2020 года, пришлось всего 3% случаев, расследованных Sophos. DarkSide оказалась в центре внимания из-за атаки на компанию Colonial Pipeline, которая, по сообщениям, заплатила хакерам $5 млн.
DarkSide предлагает свой шифровальщик в качестве услуги другим преступным группам, которые распространяют вредонос, подобно тому, как это делает банда REvil. В прошлом году REvil была в центре внимания из-за атак на правительственные объекты и учреждения здравоохранения, а также из-за высоких требований выкупа, который в среднем составлял около $ 260 000.
По данным Sophos, REvil (он же Sodinokibi) был самой активной угрозой среди шифровальщиков в 2020 году наряду с Ryuk, который, по некоторым оценкам, заработал $150 млн. на выкупе.
Другие значительные игроки на рынке шифровальщиков включают Dharma, Maze (неактивный), Ragnarok и Netwalker (неактивный).
На прошлой неделе президент США Джо Байден заявил, что обсуждал с Москвой атаку Colonial ransomware, и предложил России принять «решительные меры» против этих злоумышленников. США считают, что DarkSide базируется в России, но не связана с российским правительством.
«Мы напрямую общались с Москвой по поводу необходимости принятия ответственными странами решительных мер против этих сетевых вымогателей», - заявил Байден 13 мая.
Перевод сделан со статьи: https://www.zdnet.com
