Így csapnak le az óvatlan magyarokra a hekkerek: mutatjuk az új módszert

Az eredmények azt mutatják, hogy a hálózaton való tartózkodási idejük (“dwell time”) 36%-kal nőtt előző évhez képest: a betolakodók tartózkodási idejének átlaga 15 nap volt 2021-ben szemben a 2020-as 11 napos értékkel. A jelentés feltárja a Microsoft Exchange ProxyShell sebezhetőségének hatását is, amelyről a Sophos úgy véli, hogy egyes Initial Access Brokerek (IAB-k) kihasználták a hálózatokra való behatolásra, majd ezt a hozzáférést más támadóknak eladták.

A kiberbűnözés világa hihetetlenül diverzzé és specializálódottá vált. Az IAB-k kifejlesztettek egy speciális kiberbűnözési iparágat azáltal, hogy behatolnak a célpont hálózatába, felderítést végeznek vagy hátsó ajtót telepítenek, majd eladják a kulcsrakész hozzáférést a ransomware-bandáknak azok saját támadásaihoz

- mondta John Shier, a Sophos vezető biztonsági tanácsadója.

Ebben az egyre dinamikusabb, specializált alapú kiberfenyegetési környezetben a szervezetek számára nehéz lehet lépést tartani a támadók által használt, folyamatosan változó eszközökkel és megközelítésekkel. Létfontosságú, hogy a védekező felek megértsék, mire kell figyelniük a támadási lánc minden szakaszában, hogy a lehető leggyorsabban észlelhessék és hatástalaníthassák a támadásokat

- tette hozzá. A Sophos kutatása azt is mutatja, hogy a behatolók tartózkodási ideje hosszabb volt a kisebb szervezetek környezeteiben. A támadók körülbelül 51 napig tartózkodtak a legfeljebb 250 alkalmazottat foglalkozó szervezetek hálózatain, míg a 3000 és 5000 közötti alkalmazottat foglalkoztató szervezetnél jellemzően 20 napot töltöttek.

A támadók a nagyobb szervezeteket értékesebbnek tartják, így motiváltabbak, hogy bejussanak, megszerezzék, amit akarnak és távozzanak. A kisebb szervezeteket kevésbé ‘értékesnek’ tekintik, így a támadók megengedhetik maguknak, hogy a hálózaton hosszabb időt töltsenek el a háttérben settenkedve. Az is lehetséges, hogy ezek a támadók kevésbé voltak tapasztaltak és több időre volt szükségük kitalálni, mit kell tenniük, miután bejutottak a hálózatra. Végül pedig a kisebb szervezetek általában kisebb rálátással bírnak a támadási láncra, hogy észleljék és eltávolítsák a támadókat, amely meghosszabbítja a jelenlétüket

- mondta Shier.

A kijavítatlan ProxyLogon és ProxyShell sebezhetőségek adta lehetőségek és az IAB-k megerősödött jelenléte miatt egyre több bizonyítékot látunk arra, hogy egyetlen célpontnál több támadó is jelen van. Ha egy hálózaton belül nagy a zsúfoltság, a támadók gyorsan fognak mozogni, hogy legyőzzék a konkurenciájukat

- folytatta.

A jelentés további kulcsfontosságú megállapításai közé tartoznak:

• A támadók tartózkodási idejének mediánja az észlelés előtt hosszabb volt az olyan “rejtett” behatolások során, amelyek nem eszkalálódtak olyan jelentős támadássá, mint például egy malware-csapás, illetve a kevesebb IT-biztonsági erőforrással rendelkező kisebb szervezetek és ipari szektorok esetében. A ransomware által sújtott szervezeteknél a tartózkodási idő mediánja 11 nap volt. Azok esetében, ahol történt behatolás, de nem érintette őket olyan jelentős támadás, mint például egy zsarolóvírus-csapás (az összes vizsgált eset 23%-a), a tartózkodási idő mediánja 34 nap volt. Az oktatási szektorban működő vagy 500 főnél kevesebb alkalmazottat foglalkoztató szervezetek esetében is hosszabb volt a tartózkodási idő.
• A hosszabb tartózkodási idők és a nyitott belépési pontok több támadóval szemben teszik sebezhetővé a szervezeteket. A szakértői bizonyítékok olyan eseteket is feltártak, ahol több támadó fél, köztük IAB-k, ransomware-bandák, kriptobányászok és esetenként akár több ransomware-operátor is egyszerre célozta meg ugyanazt a szervezetet.
• Annak ellenére, hogy a távoli asztali protokoll (RDP, “Remote Desktop Protocol”) külső hozzáféréshez való használata csökkent, a támadók fokozottabban használták az eszközt a belső laterális mozgáshoz. 2020-ban a támadók az elemzett esetek 32%-ában használták az RDP-t külső tevékenységhez, ez azonban 2021-re 13%-ra csökkent. Habár ez egy pozitív változás és arra utal, hogy a szervezetek javították a külső támadási felületek kezelését, a támadók a belső laterális mozgás céljából továbbra is visszaélnek az RDP-vel. A Sophos megállapítása szerint a támadók az esetek 82%-ában használtak RDP-t a belső laterális mozgáshoz 2021-ben, szemben a 2020-as 69%-kal.
• A támadásoknál használt gyakori eszközkombinációk erőteljes figyelmeztető jelzést adnak a behatolók tevékenységéről. Például az incidensek kivizsgálása során megállapításra került, hogy 2021-ben az esetek 64%-ában PowerShell szkriptek és káros célú, nem PowerShell szkriptek együtt voltak láthatók; PowerShell és Cobalt Strike kombinációk az esetek 56%-ában; valamint PowerShell és PsExec az esetek 51%-ában volt megtalálható. Az ilyen összefüggések észlelése korai figyelmeztetésként szolgálhat egy közelgő támadás kapcsán vagy megerősítheti egy aktív támadás jelenlétét.
• A ransomware incidensek 50%-ának képezte részét adatlopás - és a rendelkezésre álló adatok alapján az adatlopás és a ransomware üzembe helyezése közötti átlagos rés 4,28 nap volt. A Sophos által 2021-ben kezelt incidensek 73%-ában volt jelen ransomware. Ezeknek a ransomware incidenseknek 50%-a szintén adatlopással járt. Az adatok ellopása gyakran a támadás utolsó szakasza volt a zsarolóvírus elszabadítása előtt, és az incidensek vizsgálata kimutatta, hogy a köztük lévő átlagos idő 4,28 nap, a medián pedig 1,84 nap volt.
• A Conti volt a legtermékenyebb ransomware-csoport 2021-ben, az összes incidens 18%-áért volt felelős. A REvil zsarolóvírus minden 10. incidensért volt felelős, míg a további elterjedt ransomware családok közé tartozik a DarkSide (a Colonial Pipeline elleni hírhedt támadás mögött álló RaaS) és a Black KingDom, az egyik “új” ransomware család, amely 2021. márciusában jelent meg a ProxyLogon sebezhetőség nyomán. Az elemzésben szereplő 144 incidens során 41 különböző ransomware-használó ellenfelet azonosítottak. Ezek közül 28 új csoport volt, akiket először 2021-ben jelentettek. A 2020-as incidenseknél látott ransomware csoportok közül 18 tűnt el a listáról 2021-ben.

A veszélyre figyelmeztető jelek közé tartozik, amelyekre a védekezőknek ügyelnie kell, a legitim eszközök, eszközök kombinációjának vagy egy tevékenységnek egy váratlan helyen vagy szokatlan időben történő észlelése. Érdemes megjegyezni, hogy előfordulhatnak olyan időszakok is, amikor nincs aktivitás vagy alacsony intenzitással történik, de ez nem jelenti azt, hogy a szervezetet nem hackelték meg. Például valószínűleg sokkal több, jelenleg fel nem fedezett ProxyLogon- vagy ProxyShell-feltörés történt, ahol webshelleket és hátsó ajtókat telepítettek a célpontok rendszereire a folyamatos hozzáférés érdekében és most csendben ülnek, amíg a hozzáférést felhasználják vagy eladják. A védekezőknek készen kell állniuk minden gyanús jel esetén és azonnal ki kell azt vizsgálniuk. Ki kell javítaniuk a kritikus bugokat, különösen a széles körben használt szoftverekben és prioritásként meg kell erősíteniük a távoli hozzáféréses szolgáltatások biztonságát. Amíg a kívülről elérhető belépési pontokat le nem zárják és teljes mértékben mindent el nem hárítanak, amit a támadók tettek a hozzáférés létrehozása és megtartása érdekében, szinte bárki végigsétálhat utánuk a rendszeren és valószínűleg meg is teszi azt majd

- fejtette ki Shier.