Ερευνητές ασφαλείας δημιούργησαν 320 honeypots για να δουν πόσο γρήγορα θα στόχευαν οι κυβερνοεγκληματίες εκτεθειμένες υπηρεσίες cloud. Οι ερευνητές διαπίστωσαν ότι το 80% παραβιάστηκε σε λιγότερο από 24 ώρες.
Οι κυβερνοεγκληματίες σαρώνουν συνεχώς το Διαδίκτυο για την ανίχνευση εκτεθειμένων υπηρεσιών, που θα μπορούσαν να αξιοποιηθούν για πρόσβαση σε εσωτερικά δίκτυα ή για την εκτέλεση άλλης κακόβουλης δραστηριότητας.
Δείτε επίσης: Σχολείο για hackers: Εγκληματίες παραδίδουν μαθήματα με θέμα τα botnet
Για να παρακολουθήσουν το λογισμικό και τις υπηρεσίες που στοχεύουν οι φορείς απειλών, οι ερευνητές δημιουργούν honeypots που είναι προσβάσιμα από οποιονδήποτε. Τα Honeypots είναι servers που έχουν ρυθμιστεί ώστε να φαίνεται ότι εκτελούν διάφορα λογισμικά και χρησιμοποιούνται ως δέλεαρ για την παρακολούθηση των τακτικών των κυβερνοεγκληματιών.
Σε μια νέα μελέτη που διεξήχθη από το Unit 42 της Palo Altos Networks, οι ερευνητές δημιούργησαν 320 honeypots και διαπίστωσαν ότι το 80% αυτών είχαν παραβιαστεί από κυβερνοεγκληματίες μέσα στις πρώτες 24 ώρες.
Οι ερευνητές δημιούργησαν honeypots με remote desktop protocol (RDP), secure shell protocol (SSH), server message block (SMB) και Postgres database services και τα διατήρησαν “ζωντανά” από τον Ιούλιο έως τον Αύγουστο του 2021.
Αυτά τα honeypots αναπτύχθηκαν σε όλο τον κόσμο.
Πώς κινούνται οι επιτιθέμενοι για να εκμεταλλευτούν εκτεθειμένες υπηρεσίες
Ο χρόνος παραβίασης είναι ανάλογος με το πόσο στοχεύουν γενικά οι κυβερνοεγκληματίες έναν συγκεκριμένο τύπο υπηρεσίας.
Για τα SSH honeypots που αποτελούσαν το μεγαλύτερο στόχο, ο μέσος χρόνος για την αρχική παραβίαση ήταν οι τρεις ώρες και ο μέσος χρόνος μεταξύ δύο διαδοχικών επιθέσεων ήταν περίπου 2 ώρες.
Δείτε επίσης: Ρώσοι κυβερνοεγκληματίες επιδιώκουν συνεργασίες με Κινέζους hackers;
Οι ερευνητές παρατήρησαν, επίσης, έναν εγκληματία ο οποίος κατάφερε να παραβιάσει το 96% των 80 Postgres honeypots σε μόλις 30 δευτερόλεπτα.
Αυτό το εύρημα είναι πολύ ανησυχητικό καθώς μπορεί να χρειαστούν μέρες (αν όχι εβδομάδες) για να αναπτυχθούν νέες ενημερώσεις ασφαλείας, ενώ οι κυβερνοεγκληματίες χρειάζονται απλώς μερικές ώρες για να εκμεταλλευτούν τις εκτεθειμένες υπηρεσίες.
Βοηθούν τα firewalls;
Η συντριπτική πλειονότητα (85%) των IP των εισβολέων παρατηρήθηκε για μία ημέρα, πράγμα που σημαίνει ότι οι φορείς σπάνια (15%) επαναχρησιμοποιούν την ίδια IP σε επόμενες επιθέσεις.
Αυτή η συνεχής αλλαγή IP καθιστά τα ‘layer 3’ firewall rules αναποτελεσματικά έναντι της πλειοψηφίας των φορέων απειλής.
Δείτε επίσης: Οι hackers προσφέρουν πολλά εκατομμύρια για zero-days
Σύμφωνα με τους ερευνητές, για να προστατεύσουν τις cloud υπηρεσίες από κυβερνοεγκληματίες, οι διαχειριστές θα πρέπει να κάνουν τα εξής:
- Δημιουργία ενός guardrail για την αποτροπή του ανοίγματος των privileged ports.
- Δημιουργία audit rules για την παρακολούθηση όλων των ανοιχτών θυρών και των εκτεθειμένων υπηρεσιών.
- Δημιουργία αυτόματων automated response and remediation rules για την αυτόματη διόρθωση misconfigurations.
- Χρήση firewalls επόμενης γενιάς (WFA ή VM-Series).
- Εγκατάσταση των πιο πρόσφατων ενημερώσεων ασφαλείας (με το που γίνονται διαθέσιμες), καθώς οι εγκληματίες του κυβερνοχώρου σπεύδουν να χρησιμοποιήσουν exploits για νέες ευπάθειες.
Πηγή: Bleeping Computer