Egy friss elemzés szerint több mint egyharmaddal nőtt a betolakodók hálózaton tartózkodási ideje. A jelentés rámutat arra is, hogyan használják ki a támadók a Microsoft Exchange ProxyShell sebezhetőségét.
A Sophos kiberbiztonsági cég múlt évre vonatkozó elemzése szerint a kiberbűnözők hálózaton való tartózkodási ideje (dwelltime) 36%-kal nőtt az előző évhez képest: a betolakodók tartózkodási idejének átlaga 15 nap volt 2021-ben szemben a 2020-as 11 napos értékkel.
Mi a szerepe az IAB-knak?
A jelentés rámutat arra is, hogy egyes Initial Access Brokerek (IAB) felderítőként kihasználták a Microsoft Exchange ProxyShell sebezhetőségének hatását a hálózatokra való behatoláshoz, majd ezt a hozzáférést más támadóknak eladták.
“A kiberbűnözés világa hihetetlenül diverzzé és specializálódottá vált. Az IAB-k kifejlesztettek egy speciális kiberbűnözési iparágat azáltal, hogy behatolnak a célpont hálózatába, felderítést végeznek vagy hátsó ajtót telepítenek, majd eladják a kulcsrakész hozzáférést a ransomware-bandáknak azok saját támadásaihoz” – emeli ki John Shier, a Sophos vezető biztonsági tanácsadója.
A Sophos kutatása szerint a behatolók hosszabb ideig tartózkodtak a kisebb vállalatok és intézmények informatikai környezeteiben. A legfeljebb 250 alkalmazottat foglalkoztató cégek hálózatain a támadók akár 51 napig is tartózkodtak, míg a 3000 és 5000 közötti alkalmazottat foglalkoztató társaságoknak jellemzően 20 napot töltöttek.
“A támadók a nagyobb szervezeteket értékesebbnek tartják, így motiváltabbak, hogy bejussanak, megszerezzék, amit akarnak és távozzanak. A kisebb szervezeteket kevésbé ‘értékesnek’ tekintik, így a támadók megengedhetik maguknak, hogy a hálózaton hosszabb időt töltsenek el a háttérben settenkedve. Az is lehetséges, hogy ezek a támadók kevésbé voltak tapasztaltak és több időre volt szükségük kitalálni, mit kell tenniük, miután bejutottak a hálózatra. Végül pedig a kisebb szervezetek általában kisebb rálátással bírnak a támadási láncra, hogy észleljék és eltávolítsák a támadókat, amely meghosszabbítja a jelenlétüket” – húzta alá John Shier.
Hozzátette: „a kijavítatlan ProxyLogon és ProxyShell sebezhetőségek adta lehetőségek és az IAB-k megerősödött jelenléte miatt egyre több bizonyítékot látunk arra, hogy egyetlen célpontnál több támadó is jelen van. Ha egy hálózaton belül nagy a zsúfoltság, a támadók gyorsan mozognak, hogy legyőzzék a konkurenciájukat.”
Egyre gyakoribbak a több támadós behatolások
A hosszabb tartózkodási idők és a nyitott belépési pontok akár több támadóval szemben is sebezhetővé teszik az érintett cégeket, intézményeket. Ahol több a támadó fél, köztük IAB-k, ransomware-bandák, kriptobányászok és esetenként akár több ransomware-operátor is egyszerre képes megcélozni ugyanazt a szervezetet.
Annak ellenére, hogy a távoli asztali protokoll (RDP) külső hozzáféréshez való használata csökkent, a támadók gyakrabban használják az eszközt a belső oldalirányú mozgáshoz. Míg a bűnözők 2020-ban az esetek közel egyharmadában használták az RDP-t külső tevékenységhez, ez a mutató 2021-re 13%-ra csökkent. A támadók a belső mozgás céljából továbbra is visszaélnek az RDP-vel, az esetek 82%-ában használtak RDP-t, az egy évvel korábbi 69% után.
A zsaroló (ransomware) incidensek felénél az adatlopás és a ransomware üzembe helyezése közötti átlagos rés 4,28 nap volt. A Sophos által tavaly kezelt incidensek 73%-ában volt jelen ransomware. Ezeknek az incidenseknek a fele ugyancsak adatlopással járt. Az adatok eltulajdonítása gyakran a támadás utolsó szakasza volt a zsarolóvírus elszabadítása előtt.
Tavaly egyébként a Conti volt a legtermékenyebb ransomware-csoport, amely az összes incidens 18%-áért volt felelős. A REvil zsarolóvírus minden 10. támadásban volt kimutatható.
Az elterjedtebb zsarolóvírus családok közé tartozik a DarkSide (a ColonialPipeline elleni hírhedt támadás mögött álló RaaS) és a Black KingDom, az egyik új ransomware család, amely 2021. márciusában jelent meg a ProxyLogon sebezhetőség nyomán.
