Το ransomware εξακολουθεί να είναι το πιο συνηθισμένο σενάριο “end game” σε μια επίθεση στον κυβερνοχώρο, αντιπροσωπεύοντας το 68,4% όλων των περιστατικών στα οποία ανταποκρίθηκε η ομάδα αντιμετώπισης περιστατικών (IR) της Sophos X-Ops το 2020, σύμφωνα με στοιχεία που αντλήθηκαν από την τελευταία έκθεση Active Adversary Report for Business Leaders του προμηθευτή, μια εις βάθος εξέταση των εξελισσόμενων τεχνικών επίθεσης και συμπεριφορών των απειλών.
Παρόλο που ο εκθετικός ρυθμός αύξησης των επιθέσεων ransomware που παρατηρήθηκε τα τελευταία χρόνια μειώθηκε κάπως πέρυσι – για διάφορους λόγους, μεταξύ των οποίων και ο αντίκτυπος του πολέμου στην Ουκρανία στο εγκληματικό οικοσύστημα της Ρωσίας – εξακολουθεί να παραμένει πολύ πιο συχνός από άλλες μορφές επιθέσεων, σύμφωνα με τη Sophos. Συγκριτικά, ο δεύτερος πιο συνηθισμένος τύπος περιστατικού – απλές παραβιάσεις δικτύου χωρίς στοιχείο ransomware – αντιστοιχούσε μόνο στο 18,4% των περιστατικών.
Η Sophos δήλωσε ότι το ransomware θα είναι πάντα σημαντικό στις συνολικές στατιστικές, δεδομένου ότι είναι μια διασπαστική, θορυβώδης και ορατή μορφή κυβερνοεπίθεσης και απαιτεί μεγάλη βοήθεια από ειδικούς. Η ομάδα X-Ops σημείωσε επιπλέον ότι πολλές από τις παραβιάσεις δικτύου στις οποίες απάντησαν δεν είχαν ξεκάθαρο κίνητρο, επομένως μπορεί κάλλιστα να είχαν εξελιχθεί σε περιστατικά ransomware αν είχαν κάνει την πορεία τους.
Σε άλλα σημεία, το 4% των X-Ops responses αφορούσε περιστατικά διαρροής δεδομένων και το 2,6% εκβιασμό δεδομένων, τα οποία είναι συνήθως χαρακτηριστικά ενός περιστατικού ransomware, αλλά χρησιμοποιούνται όλο και περισσότερο ως τακτικές από απειλητικούς φορείς χωρίς να κρυπτογραφούν δεδομένα. Το 3,3% αφορούσε την ανάπτυξη φορτωτών κακόβουλου λογισμικού, το 2,6% την ανάπτυξη web shells και 0,7% την ανάπτυξη παράνομων κρυπτομηχανισμών.
Ίσως σε σχέση με αυτό, η ομάδα X-Ops να παρατήρησε μειώσεις στους μέσους χρόνους παραμονής των επιτιθέμενων σε όλο το board, από 11 ημέρες το 2021 σε εννέα ημέρες το 2022 σε περιστατικά ransomware και 34 ημέρες έως 11 ημέρες σε άλλες, στο ίδιο timeframe.
Ο Shier υποστήριξε ότι αυτό συνδέεται και πάλι με μια αποτελεσματική αμυντική στάση. “Οι οργανισμοί που έχουν εφαρμόσει με επιτυχία πολυεπίπεδες άμυνες με συνεχή παρακολούθηση βλέπουν καλύτερα αποτελέσματα όσον αφορά τη σοβαρότητα των επιθέσεων, [αλλά] η παρενέργεια της βελτιωμένης άμυνας σημαίνει ότι οι adversaries πρέπει να επιταχύνουν για να ολοκληρώσουν τις επιθέσεις τους”, δήλωσε.
Είσοδος, όχι διάρρηξη
Τα πιο πρόσφατα δεδομένα της ομάδας X-Ops αποκαλύπτουν επίσης κάποιες πληροφορίες σχετικά με τον τρόπο με τον οποίο οι απειλητικοί φορείς αποκτούν πρόσβαση στα δίκτυα των θυμάτων τους και τι άλλο κάνουν μόλις εισέλθουν.
Η ομάδα ανακάλυψε ότι οι ευπάθειες που δεν έχουν επιδιορθωθεί ήταν η πιο κοινή μέθοδος πρόσβασης – οι μισές από τις έρευνες του X-Ops του 2022 αφορούσαν την εκμετάλλευση των τρωτών σημείων Log4Shell και ProxyShell. Η επόμενη πιο κοινή βασική αιτία επιθέσεων ήταν τα credentials σε κίνδυνο – όπως το έθεσε ο Shier, «όταν οι σημερινοί επιτιθέμενοι δεν εισβάλλουν, εισέρχονται». Ακολούθησαν άγνωστες μέθοδοι πρόσβασης – κάτι που είναι ανησυχητικό γιατί όταν οι ομάδες IR δεν μπορούν να εντοπίσουν τη βασική αιτία, καθιστά την αποκατάσταση σημαντικά πιο δύσκολη – χρήση κακόβουλων εγγράφων, επιθέσεις brute force και phishing.
Κατά τη διάρκεια της καθημερινής της εργασίας, η ομάδα εντόπισε 524 μοναδικά εργαλεία και τεχνικές που χρησιμοποιούν οι απειλητικοί φορείς. Μεταξύ αυτών ήταν 204 επιθετικά εργαλεία ή εργαλεία hacking- το πιο δημοφιλές ήταν το post-exploitation framework Cobalt Strike, ακολουθούμενο από τα AnyDesk, mimikatz, Network Scanner της SoftPerfect, Advanced IP Scanner και TeamViewer.
Επιπλέον, η X-Ops βρήκε σχεδόν 120 living-off-the-land binaries (LOLBins), τα οποία είναι νόμιμα εκτελέσιμα προγράμματα που εμφανίζονται φυσικά σε λειτουργικά συστήματα και στη συνέχεια χρησιμοποιούνται από κακόβουλους φορείς. Αυτό καθιστά πιο δύσκολο για τις ομάδες ασφαλείας να τα εντοπίσουν και να τα αποκλείσουν. Το PowerShell ήταν το πιο συχνά χρησιμοποιούμενο LOLBin, ακολουθούμενο από τα cmd.exe, PSExec, Task Scheduler και net.exe. Η εκμετάλλευση του πρωτοκόλλου Remote Desktop Protocol (RDP) λογίζεται επίσης ως LOLBin- ωστόσο, εξαιρέθηκε από τη δειγματοληψία λόγω της “πανταχού παρούσας” φύσης του.
Σε γενικές γραμμές, η Sophos συμβουλεύει ότι, δεδομένης της μεγάλης ποικιλίας των επιλογών που υπάρχουν, το zeroing σε μία από αυτές δεν θα βοηθήσει πολύ. Οι ομάδες ασφαλείας θα πρέπει να περιορίσουν τα εργαλεία που επιτρέπεται να είναι παρόντα, να περιορίσουν τι μπορούν να κάνουν και να ελέγχουν όλη τη χρήση τους. Για παράδειγμα, το Cobalt Strike θα πρέπει πάντα να αποκλείεται, αλλά κάποια χρήση του TeamViewer μπορεί να επιτραπεί με ασφάλεια σε αυστηρά ελεγχόμενη βάση.
Παρομοίως, το άμεσο μπλοκάρισμα των LOLBins δεν είναι χρήσιμο, καθώς ορισμένα από αυτά είναι απαραίτητα για τις καθημερινές λειτουργίες – οι ομάδες ασφαλείας θα ήταν καλύτερο να αναπτύξουν εναύσματα για εργαλεία ανίχνευσης ώστε να εντοπίζουν δραστηριότητες που τα αφορούν.
Πηγή πληροφοριών: computerweekly.com
![Pinterest](https://pinterest.com/pin/create/button/?url=https://www.secnews.gr/462462/sxedon-ta-tria-tetarta-twn-kivernoepithesewn-perilamvanoyn-ransomware/&media=https://cdn.secnews.gr/cb:90j0~424ea/w:auto/h:auto/q:mauto/ig:avif/f:best/https://www.secnews.gr/wp-content/uploads/2023/02/ransomware_istock-.jpg&description=Το ransomware εξακολουθεί να είναι το πιο συνηθισμένο σενάριο "end game" σε μια επίθεση στον κυβερνοχώρο, αντιπροσωπεύοντας το...){kind=link}