Cyberprzestępcy nawet 50 dni hulają w firmowych sieciach
Korzystają z luk w popularnych aplikacjach. Małe firmy są szczególnie narażone.
Im mniejsza firma, tym dłużej atakujący są w stanie penetrować jej zasoby.
Średni czas po którym wykryto obecność cyberprzestępców w firmowej infrastrukturze IT, wydłużył się o 36 proc. – z 11 dni w 2020 r. do 15 dni w 2021 r. – według danych Sophosa.
Zazwyczaj zostają oni zauważeni dopiero wtedy, gdy ransomware, którym zainfekowany jest system, zacznie działać. Ten rodzaj ataku stanowił aż 73 proc. wszystkich analizowanych przypadków.
Mała firma, wielkie kłopoty
Według Sophos cyberprzestępcy dłużej przebywają w infrastrukturze IT mniejszych firm. W przypadku przedsiębiorstw liczących do 250 pracowników – nawet 51 dni, a w podmiotach zatrudniających od 3 do 5 tys. osób – średnio 20 dni.
„Cyberprzestępcy uważają zasoby dużych firm za cenniejsze. Mają więc większą motywację, aby włamać się do ich systemów, chociaż ryzykują, że ich działalność zostanie szybko wykryta. Natomiast małe przedsiębiorstwa nie są aż tak atrakcyjnym celem, ale ich ochrona przeważnie jest słabsza” – wyjaśnia Grzegorz Nocoń, inżynier systemowy Sophosa.
Badanie wskazało też, że ten sam cel może być atakowany przez kilka różnych grup jednocześnie. Dlatego cyberprzestępcy muszą działać szybciej niż dotychczas, aby wyprzedzić konkurencję.
Obfite żniwo (dla przestępców) luk w Microsoft Exchange
Według raportu cyberprzestępcy wykorzystali w blisko połowie badanych w 2021 r. przypadków niezałatane luki w oprogramowaniu, takie jak ProxyShell i ProxyLogon w serwerach poczty Microsoft Exchange. Dla porównania, tylko co dwudziesty atak nastąpił w wyniku złamanych bądź nielegalnie pozyskanych danych uwierzytelniających.
Ustalono, że są grupy nazwane IAB (Initial Access Brokers), zajmujące się wyłącznie pozyskiwaniem danych dostępowych do systemów firm, a następnie odsprzedawaniem ich innym przestępcom, np. udostępniającym ataki ransomware jako usługę. Wraz ze wzrostem aktywności takich grup rośnie trudność wykrywania ataków. IAB wykorzystują słabe punkty zabezpieczeń, szczególnie nowo wykryte luki w popularnych aplikacjach.
Nie zawsze udaje się ustalić, którędy atakujący uzyskali dostęp do danych. Dlatego specjaliści do spraw cyberbezpieczeństwa powinni zachować czujność i na bieżąco łatać luki, zwłaszcza w powszechnie używanym oprogramowaniu. Nie mniej istotne jest zabezpieczanie usług zdalnego dostępu.
„Czerwoną lampkę powinny zapalić wszelkie aktywności czy narzędzia, nawet jeśli są legalne, których działalność zaobserwowano w nieoczekiwanym miejscu lub czasie” – przypomina Grzegorz Nocoń.
————————
Raport Sophos Active Adversary Playbook 2022 został opracowany na podstawie 144 incydentów z 2021 roku w firmach różnej wielkości w kilkunastu krajach na całym świecie.
Podobne aktualności
Atakowali firmy metodą spoofingu. Grozi im do 20 lat
Polak należał do bossów międzynarodowego gangu, który okradał firmy z całego świata.
Krytyczna luka w firewallach Palo Alto wykorzystana w atakach
Firma twierdzi, że wykorzystanie luki było jak dotąd „ograniczone”.
Hakerzy najczęściej atakują firmy poprzez zdalny pulpit
Zarządzanie usługami na odległość powinno być priorytetem firmowej cyberochrony - wynika z raportu.