Οι ομάδες ransomware επιταχύνουν τις επιθέσεις τους, με τον χρόνο παραμονής να μειώνεται σε μόλις 5 ημέρες.
Οι ομάδες ransomware έχουν επιταχύνει τις επιθέσεις τους και πλέον ξοδεύουν λιγότερο χρόνο μέσα στα δίκτυα των θυμάτων πριν ενεργοποιήσουν την κρυπτογράφηση αρχείων, σύμφωνα με την Έκθεση Active Adversary 2023 από τη Sophos. Τα δεδομένα για την έκθεση προήλθαν από τους πρώτους 6 μήνες του 2023 και συγκεντρώθηκαν και αναλύθηκαν από την ομάδα Sophos X-Ops.
Δείτε επίσης: Kroll: Ανακοίνωσε παραβίαση δεδομένων (ξεκίνησε από SIM swapping)
Ο μέσος χρόνος παραμονής των ομάδων ransomware μειώθηκε από 9 ημέρες σε 5 ημέρες κατά το πρώτο εξάμηνο του 2023, πράγμα που οι ερευνητές πιστεύουν ότι είναι κοντά στο όριο του δυνατού για τους χάκερ. Δεν αναμένεται ο μέσος χρόνος παραμονής να πέσει κάτω από 5 ημέρες λόγω του χρόνου που συνήθως απαιτείται για τους χάκερ να επιτύχουν τους στόχους τους. Κατά μέσο όρο, χρειάστηκαν 16 ώρες από την αρχική πρόσβαση για να αποκτήσουν πρόσβαση στο Microsoft Active Directory και να αναβαθμίσουν τα δικαιώματα πρόσβασης προκειμένου να επιτρέψουν ευρεία πρόσβαση στα εσωτερικά συστήματα. Η πλειοψηφία των ομάδων ransomware δεν βασίζονται μόνο στην κρυπτογράφηση, αλλά επίσης εξαγάγουν δεδομένα ώστε να ασκήσουν πίεση για να πληρωθούν οι θύματα. Συχνά, υπάρχουν αντίγραφα ασφαλείας των δεδομένων, οπότε η ανάκτηση είναι δυνατή χωρίς να πληρωθούν τα λύτρα, αλλά αν υπάρχει απειλή αποκάλυψης των δεδομένων, συχνά πληρώνονται λύτρα. Κατά μέσο όρο, απαιτείται περίπου 2 ημέρες για τις ομάδες ransomware να εξάγουν τα δεδομένα.
Η μείωση του χρόνου παραμονής είναι κατανοητή. Όσο περισσότερο παραμένουν οι χάκερ στα δίκτυα, τόσο μεγαλύτερη είναι η πιθανότητα να ανιχνευθεί η παρουσία τους, ειδικά αφού τα συστήματα ανίχνευσης παραβίασης γίνονται καλύτερα στην ανίχνευση παρεισδύσεων και κακόβουλων δραστηριοτήτων. Ένας από τους τρόπους με τους οποίους οι ομάδες ransomware έχουν επιταχύνει τις επιθέσεις τους είναι μέσω της επιλογής διακοπτόμενης κρυπτογράφησης, όπου μόνο μέρη των αρχείων κρυπτογραφούνται. Η διαδικασία κρυπτογράφησης είναι πολύ πιο γρήγορη, πράγμα που σημαίνει ότι υπάρχει λιγότερος χρόνος για να ανιχνευθεί και να σταματήσει μια επίθεση που είναι σε εξέλιξη, αλλά η κρυπτογράφηση είναι ακόμα επαρκής για να αποτρέψει την πρόσβαση σε αρχεία.
Δείτε επίσης: Το KmsdBot malware αναβαθμίστηκε: Τώρα στοχεύει συσκευές IoT
Οι ομάδες ransomware συχνά θέτουν ένα χρονοδιάγραμμα στις επιθέσεις τους για να μειώσουν τον κίνδυνο ανίχνευσης. Σε 81% των επιθέσεων που αναλύθηκαν από τους ερευνητές, η διαδικασία κρυπτογράφησης ενεργοποιήθηκε εκτός των κανονικών ωρών εργασίας, όπως το Σαββατοκύριακο ή κατά τη διάρκεια των αργιών, όταν το προσωπικό είναι μειωμένο. Το 43% των επιθέσεων ransomware ανιχνεύθηκε την Παρασκευή ή το Σάββατο. Ενώ ο χρόνος παραμονής των δραστών ransomware έχει μειωθεί, υπήρξε μια μικρή αύξηση στον χρόνο παραμονής για μη-επεισόδια ransomware, ο οποίος αυξήθηκε από μέσο όρο 11 ημέρες σε 13 ημέρες στο πρώτο εξάμηνο του 2023.
Σε πολλές κυβερνοεπιθέσεις, αξιοποιήθηκε μια ευπάθεια που επέτρεψε σε χάκερ να χρησιμοποιήσουν μια απομακρυσμένο υπηρεσία για αρχική πρόσβαση, όπως ευπάθειες σε τείχη προστασίας ή πύλες VPN. Η εκμετάλλευση ευπαθειών σε εφαρμογές που είναι προσβάσιμες από το κοινό ήταν για καιρό η κύρια αιτία των επιθέσεων, ακολουθούμενη από εξωτερικές απομακρυσμένες υπηρεσίες. Ωστόσο, στο πρώτο εξάμηνο του 2023, αυτή η κατάσταση αντιστράφηκε και τα παραβιασμένα credentials αποτέλεσαν τη ρίζα του 50% των επιθέσεων, με την εκμετάλλευση ευπαθειών να είναι η ρίζα του 23% των επιθέσεων.
Τα παραβιασμένα credentials διευκολύνουν τους επιτιθέμενους όταν δεν υπάρχει πολυπαραγοντική πιστοποίηση. Η εφαρμογή και η επιβολή ενός ανθεκτικού στο phishing MFA πρέπει να είναι προτεραιότητα για όλες τις οργανώσεις, αλλά οι ερευνητές διαπίστωσαν ότι στο 39% των περιπτώσεων που ερευνήθηκαν, δεν ήταν διαμορφωμένη η πολυπαραγοντική πιστοποίηση. Η άμεση ενημέρωση πρέπει επίσης να είναι στόχος, καθώς αυτό μειώνει το παράθυρο ευκαιρίας για τους επιτιθέμενους. Οι ερευνητές προτείνουν να ακολουθηθεί το χρονοδιάγραμμα του CISA για την ενημέρωση σύμφωνα με την Απόφαση Λειτουργικής Διαταγής 19-02, με 15 ημέρες για κρίσιμες ευπάθειες και 30 ημέρες για υψηλής σοβαρότητας ευπάθειες, καθώς αυτό θα αναγκάσει τους επιτιθέμενους να χρησιμοποιήσουν πιο περιορισμένες τεχνικές αφαιρώντας τα εύκολα θύματα.
Προηγούμενες αναφορές έχουν τονίσει τον βαθμό στον οποίο το Remote Desktop Protocol (RDP) γίνεται abuse. Το πρώτο εξάμηνο του 2023, το RDP χρησιμοποιήθηκε σε 95% των επιθέσεων, αυξημένο από το 88% το 2022. Σε 77% των επιθέσεων που εμπλέκονταν το RDP, το εργαλείο χρησιμοποιήθηκε για εσωτερική πρόσβαση και lateral movement, αυξημένο από το 65% το 2022. Μόνο το 1% των επιθέσεων περιλάμβανε το RDP για εξωτερική πρόσβαση. Λόγω του βαθμού abuse του RDP, η ασφάλεια του RDP πρέπει να είναι προτεραιότητα για τις ομάδες ασφαλείας. Εάν οι επιτιθέμενοι αναγκαστούν να παραβιάσουν το MFA ή να εισαγάγουν τα δικά τους εργαλεία για lateral movement, θα τους απαιτηθεί περισσότερος χρόνος και προσπάθεια, παρέχοντας στους defenders περισσότερο χρόνο για την ανίχνευση διεισδύσεων και αυξάνοντας την πιθανότητα ανίχνευσης κακόβουλων δραστηριοτήτων.
Πηγή πληροφοριών: hipaajournal.com
