Именно столько времени хакеры будут прятаться в вашей сети, прежде чем развернут программу-вымогатель или их заметят.

У киберзлоумышленников в среднем есть 11 дней после взлома целевой сети, прежде чем они будут обнаружены. по данным британской охранной фирмы Sophos – и часто, когда их замечают, это потому, что они развернули программы-вымогатели.

Как утверждают исследователи Sophos обратите внимание в новом отчете, этого более чем достаточно для того, чтобы злоумышленник получил полное представление о том, как выглядит целевая сеть, в чем заключаются ее слабые места, а также для злоумышленников, использующих программы-вымогатели, чтобы разрушить ее.

Данные Sophos, основанные на реакции на инциденты с клиентами, предполагают гораздо более короткое «время ожидания» для злоумышленников, чем данные группы реагирования на инциденты FireEye, Mandiant.

Компания Mandiant недавно сообщила, что среднее время обнаружения составило 24 дня., что было улучшением по сравнению с предыдущими годами.

ВИДЕТЬ: Политика сетевой безопасности (Техреспублик Премиум)

Компания Sophos объясняет, что относительно короткое время обработки данных по реагированию на инциденты объясняется тем, что колоссальные 81% инцидентов, которые он помог клиентам с использованием программ-вымогателей — шумной атаки, которая немедленно вызывает тревогу для технических специалистов. отделы. Таким образом, хотя более короткое время ожидания может указывать на улучшение так называемого состояния безопасности, это также может быть связано с тем, что программы-вымогатели, шифрующие файлы, являются разрушительной атакой по сравнению с кражей данных.

«Для сравнения: 11 дней потенциально дают злоумышленникам примерно 264 часа на вредоносная деятельность, такая как горизонтальное перемещение, разведка, сброс учетных данных, кража данных, и более. Учитывая, что реализация некоторых из этих мероприятий может занять всего несколько минут или несколько часов, 11 дней предоставить злоумышленникам достаточно времени для нанесения ущерба», — отмечает Sophos в своем «Active Adversary Playbook 2021». отчет.

Подавляющее большинство инцидентов, на которые отреагировала Sophos, были атаками программ-вымогателей. намекая на масштаб проблемы. Другие атаки включают в себя кражу данных, криптомайнеры, банковские трояны, очистители данных и использование инструментов тестирования на проникновение, таких как Cobalt Strike.

Еще одним примечательным моментом является широкое использование злоумышленниками протокола удаленного рабочего стола (RDP): около 30% атак начинаются с RDP, а 69% последующих действий выполняются с помощью RDP. С другой стороны, фишинг стал точкой входа лишь для 12% атак, в то время как 10% атак были связаны с использованием непропатченной системы.

Атаки на конечные точки RDP уже давно используются для инициирования атак программ-вымогателей. гораздо более распространены, чем эксплойты против VPN. Несколько охранных компаний назвали RDP основным вектором вторжения в число инцидентов с программами-вымогателями в 2020 году. Охранная фирма ESET сообщили, что при удаленной работе в 2020 году количество RDP-атак выросло почти на 800%..

«RDP участвовал в 90% атак. Однако стоит обратить внимание на то, как злоумышленники использовали RDP. В инцидентах, связанных с RDP, он использовался для внешнего доступа лишь в 4% случаев. Около четверти (28%) атак показали, что злоумышленники использовали RDP как для внешнего доступа, так и для внутреннего перемещения. в 41% случаев RDP использовался только для внутреннего бокового перемещения внутри сети», — исследователи угроз Sophos. примечание.

Sophos также составила список наиболее широко наблюдаемых групп программ-вымогателей. DarkSide, новый, но профессиональный поставщик услуг по вымогательству, начавший свою деятельность в середине 2020 года, на долю которого пришлось лишь 3% случаев, расследованных Sophos в 2020 году. Это в центре внимания из-за нападения на Колониальный трубопровод, который как сообщается, заплатил группе 5 миллионов долларов..

DarkSide предлагает свои программы-вымогатели в качестве услуги другим преступным группировкам, которые распространяют программы-вымогатели, так же, как это делает банда вымогателей REvil. В прошлом году REvil оказался в центре внимания из-за нападок на правительство и цели здравоохранения плюс за это высокие требования выкупа, которые в среднем составляли около 260 000 долларов США..

ВИДЕТЬ: Это вредоносное ПО было переписано на языке программирования Rust, чтобы его было труднее обнаружить.

По данным Sophos, REvil (также известный как Sodinokibi) был самой активной угрозой-вымогателем в 2020 году наряду с Ryuk, который, по некоторым оценкам, заработал $150 млн с помощью программ-вымогателей.

Другие важные игроки в области программ-вымогателей, включая Dharma, Maze (несуществующий), Ragnarok и Netwalker (несуществующий).

Президент США Джо Байден на прошлой неделе заявил, что обсуждал с Москвой атаку колониальной программы-вымогателя, и предложил России принять «решительные меры» против этих злоумышленников. США полагают, что DarkSide базируется в России, но не связана с российским правительством.

«Мы напрямую общались с Москвой о необходимости принятия ответственными странами решительных мер против этих сетей-вымогателей», сказал Байден 13 мая.