Saldırganlar daha küçük kuruluşlarda daha uzun süre gizleniyor - rapor

Tehdit aktörleri, daha büyük şirketleri daha değerli görür ve içeri girip istediklerini olabildiğince çabuk elde etmek için motive olurlar.

Sophos araştırmacılarına göre, davetsiz misafirlerin ortalama olarak, en fazla 250 çalışanı olan kuruluşlarda 51 gün boyunca pusuda beklerken, tipik olarak 3.000 ila 5.000 çalışanı olan şirketlerde 20 gün geçirdiklerini tespit etti.

Şirketin Active Adversary Playbook 2022 raporuna göre, davetsiz misafirlerin kalma süresi 2020’de 11 güne kıyasla 2021’de %36 artarak 15 güne yükseldi.

Şirketin kıdemli güvenlik danışmanı John Shier, “Daha küçük organizasyonların daha az algılanan ‘değeri’ var, bu nedenle saldırganlar ağda daha uzun süre arka planda gizlenebilir” dedi.

Diğer bir olasılık ise, kötü niyetli bilgisayar korsanlarının deneyimsiz olmaları ve şirketi ihlal etmeyi başardıklarında ne yapacaklarını bulmak için daha fazla zamana ihtiyaç duymalarıdır.

“Daha küçük kuruluşlar, saldırganları tespit etmek ve kovmak için saldırı zincirinde genellikle daha az görünürlüğe sahiptir, bu da varlıklarını uzatır. Yama uygulanmamış ProxyLogon ve ProxyShell güvenlik açıklarından ve ilk erişim aracılarının (IAB’ler) yükselişinden kaynaklanan fırsatlarla, birden çok saldırganın daha fazla kanıt görüyoruz. Tek bir hedef. Bir ağ içinde kalabalıksa, saldırganlar rekabetlerini yenmek için hızlı hareket etmek isteyeceklerdir,” diye ekledi Shier.

Saldırganlar, fidye yazılımı ile saldırmadan önce kuruluşlarda 11 gün boyunca gizlendi. Daha uzun medyan bekleme süresi, daha az BT güvenlik kaynağına sahip daha küçük sektörler içindi ve bu izinsiz girişler, fidye yazılımı gibi önemli bir saldırıya dönüşmedi.

Sophos, daha uzun bekleme sürelerinin ve açık giriş noktalarının, birden fazla saldırganın kuruluşu sömürmesine yol açtığını söyledi. Adli kanıtlar, birden fazla düşmanın aynı anda aynı kuruluşu hedef aldığı durumlara işaret ediyor.

Geçen yıl, araştırmacılar, harici erişim için uzak masaüstü protokolünü (RDP) kullanmada bir düşüş fark ettiler. Bu, kuruluşların harici saldırı hizmetleri yönetimini iyileştirdiğini göstermektedir. Ancak, tehdit aktörleri dahili yanal hareket için RDP’yi kullanır.

Sophos’a göre Conti, 2021’deki olayların %18’inden sorumluydu. Araştırmacılar, 28’i ilk kez 2021’de rapor edilen 41 farklı fidye yazılımı düşmanı tespit etti.

*{padding:0;kenar boşluğu:0;taşma:gizli}html,gövde{yükseklik:100%}img{konum:mutlak;genişlik:%100;üst:0;alt:0;kenar boşluğu:oto}açıklık{yükseklik: 48px;width:68px;position:absolute;left:50%;top:50%;margin:-24px 0 0 -34px}#bg{fill:#212121;opacity:.8}body:hover #bg{dolgu: #ed1d24;opaklık:1}

“>

Shier, “Savunmacıların dikkat etmesi gereken kırmızı bayraklar, meşru bir aracın, araçların kombinasyonunun veya beklenmedik bir yerde veya alışılmadık bir zamanda faaliyetin tespit edilmesini içerir” dedi. “Ayrıca çok az veya hiç etkinlik olmadığı zamanlar olabileceğini belirtmekte fayda var, ancak bu bir kuruluşun ihlal edilmediği anlamına gelmez. Örneğin, şu anda bilinmeyen çok daha fazla ProxyLogon veya ProxyShell ihlali olması muhtemeldir. , kalıcı erişim için hedeflere web kabukları ve arka kapılar implante edildi ve şimdi bu erişim kullanılana veya satılana kadar sessizce oturuyor.”