Wykorzystanie zewnętrznych usług zdalnych to jedna z najczęściej stosowanych (65 proc. przypadków) przez hakerów metod uzyskania dostępu do zasobów firm – według raportu Sophosa. Aż w 9 na 10 udanych atakach na przedsiębiorstwa hakerzy skorzystali z protokołu pulpitu zdalnego. Dane dotyczą firm z 23 krajów, w tym z Polski.

Także w poprzednich raportach z lat 2021 – 2023 taki sposób ataku należał do najczęstszych. Wynika z tego, że zarządzanie usługami na odległość powinno być priorytetem firmowej cyberochrony.

Jedną z głównym metod uzyskania początkowego dostępu przez napastników były usługi zdalne takie jak VPN lub RDP (Remote Desktop Protocol, protokół pulpitu zdalnego).

Np. do jednej z firm hakerzy włamali się cztery razy w ciągu 6 miesięcy. Każdy z ataków wyglądał tak samo – cyberprzestępcy uzyskiwali dostęp do danych przedsiębiorstwa przez niezabezpieczone porty usługi pulpitu zdalnego. Będąc już w firmowych systemach, infekowali je szkodliwym oprogramowaniem i wyłączali ochronę punktów końcowych, by zdalny dostęp do plików wciąż był możliwy.

Kradzież danych jest główną przyczyną ataku

Na szczycie listy sposobów, w jakie cyberprzestępcy uzyskują początkowy dostęp do danych firm, pozostaje kradzież danych uwierzytelniających (77 proc.). W ponad połowie przypadków (56 proc.) były one główną przyczyną ataku.

W większości analizowanych incydentów nie udało się ustalić, w jaki sposób hakerzy przejęli dane dostępowe. Według badania Sophosa 43 proc. firm nie stosowało podstawowego narzędzia ochrony dostępu, jakim jest uwierzytelnianie wieloskładnikowe. Drugą najczęstszą metodą było wykorzystywanie luk w zabezpieczeniach (16 proc.).

„Zarządzanie ryzykiem to aktywny proces. Jego ważnym aspektem, poza identyfikacją i ustalaniem priorytetów, jest działanie na podstawie informacji” – podkreśla John Shier, dyrektor ds. technologii w Sophosie.

„Nie brakuje firm, które zbyt długo, z korzyścią dla atakujących, bagatelizują problem otwartego protokołu RDP. Zabezpieczenie sieci poprzez ograniczenie liczebności narażonych i podatnych na ataki usług oraz uruchomienie uwierzytelniania wieloskładnikowego znacząco wpływają na poprawę cyberbezpieczeństwa” – komentuje dyrektor.

Active Adversary Report opracowany przez zespół Sophos X-Ops powstał na bazie ponad 150 reakcji na incydenty w firmach z 26 branż z 23 krajów z całego świata, w tym z Polski.