Az újgenerációs kiberbiztonság területén globális vezető Sophos  “Active Adversary Playbook 2022” elemzése* részletezi a támadók viselkedését, amelyet a Sophos Rapid Response csapata 2021-ben tapasztalt az éles helyzetek során.

Az eredmények azt mutatják, hogy a hálózaton való tartózkodási idejük (“dwell time”) 36%-kal nőtt előző évhez képest: a betolakodók tartózkodási idejének átlaga 15 nap volt 2021-ben szemben a 2020-as 11 napos értékkel. A jelentés feltárja a Microsoft Exchange ProxyShell sebezhetőségének hatását is, amelyről a Sophos úgy véli, hogy egyes Initial Access Brokerek (IAB-k) kihasználták a hálózatokra való behatolásra, majd ezt a hozzáférést más támadóknak eladták.

“A kiberbűnözés világa hihetetlenül diverzzé és specializálódottá vált. Az IAB-k kifejlesztettek egy speciális kiberbűnözési iparágat azáltal, hogy behatolnak a célpont hálózatába, felderítést végeznek vagy hátsó ajtót telepítenek, majd eladják a kulcsrakész hozzáférést a ransomware-bandáknak azok saját támadásaihoz”

– mondta John Shier, a Sophos vezető biztonsági tanácsadója.

“Ebben az egyre dinamikusabb, specializált alapú kiberfenyegetési környezetben a szervezetek számára nehéz lehet lépést tartani a támadók által használt, folyamatosan változó eszközökkel és megközelítésekkel. Létfontosságú, hogy a védekező felek megértsék, mire kell figyelniük a támadási lánc minden szakaszában, hogy a lehető leggyorsabban észlelhessék és hatástalaníthassák a támadásokat.”

A Sophos kutatása azt is mutatja, hogy a behatolók tartózkodási ideje hosszabb volt a kisebb szervezetek környezeteiben. A támadók körülbelül 51 napig tartózkodtak a legfeljebb 250 alkalmazottat foglalkozó szervezetek hálózatain, míg a 3000 és 5000 közötti alkalmazottat foglalkoztató szervezetnél jellemzően 20 napot töltöttek.

A támadók hálózaton eltöltött tartózkodási ideje a cég méretének viszonylatában (átlag) Az alkalmazottak száma / Átlagos tartózkodási napokban mérve

“A támadók a nagyobb szervezeteket értékesebbnek tartják, így motiváltabbak, hogy bejussanak, megszerezzék, amit akarnak és távozzanak. A kisebb szervezeteket kevésbé ‘értékesnek’ tekintik, így a támadók megengedhetik maguknak, hogy a hálózaton hosszabb időt töltsenek el a háttérben settenkedve. Az is lehetséges, hogy ezek a támadók kevésbé voltak tapasztaltak és több időre volt szükségük kitalálni, mit kell tenniük, miután bejutottak a hálózatra. Végül pedig a kisebb szervezetek általában kisebb rálátással bírnak a támadási láncra, hogy észleljék és eltávolítsák a támadókat, amely meghosszabbítja a jelenlétüket”

– mondta Shier.

“A kijavítatlan ProxyLogon és ProxyShell sebezhetőségek adta lehetőségek és az IAB-k megerősödött jelenléte miatt egyre több bizonyítékot látunk arra, hogy egyetlen célpontnál több támadó is jelen van. Ha egy hálózaton belül nagy a zsúfoltság, a támadók gyorsan fognak mozogni, hogy legyőzzék a konkurenciájukat.”

A jelentés további kulcsfontosságú megállapításai közé tartoznak:

• A támadók tartózkodási idejének mediánja az észlelés előtt hosszabb volt az olyan “rejtett” behatolások során, amelyek nem eszkalálódtak olyan jelentős támadássá, mint például egy malware-csapás, illetve a kevesebb IT-biztonsági erőforrással rendelkező kisebb szervezetek és ipari szektorok esetében. A ransomware által sújtott szervezeteknél a tartózkodási idő mediánja 11 nap volt. Azok esetében, ahol történt behatolás, de nem érintette őket olyan jelentős támadás, mint például egy zsarolóvírus-csapás (az összes vizsgált eset 23%-a), a tartózkodási idő mediánja 34 nap volt. Az oktatási szektorban működő vagy 500 főnél kevesebb alkalmazottat foglalkoztató szervezetek esetében is hosszabb volt a tartózkodási idő.
• A hosszabb tartózkodási idők és a nyitott belépési pontok több támadóval szemben teszik sebezhetővé a szervezeteket. A szakértői bizonyítékok olyan eseteket is feltártak, ahol több támadó fél, köztük IAB-k, ransomware-bandák, kriptobányászok és esetenként akár több ransomware-operátor is egyszerre célozta meg ugyanazt a szervezetet.
• Annak ellenére, hogy a távoli asztali protokoll (RDP, “Remote Desktop Protocol”) külső hozzáféréshez való használata csökkent, a támadók fokozottabban használták az eszközt a belső laterális mozgáshoz. 2020-ban a támadók az elemzett esetek 32%-ában használták az RDP-t külső tevékenységhez, ez azonban 2021-re 13%-ra csökkent. Habár ez egy pozitív változás és arra utal, hogy a szervezetek javították a külső támadási felületek kezelését, a támadók a belső laterális mozgás céljából továbbra is visszaélnek az RDP-vel. A Sophos megállapítása szerint a támadók az esetek 82%-ában használtak RDP-t a belső laterális mozgáshoz 2021-ben, szemben a 2020-as 69%-kal.
• A támadásoknál használt gyakori eszközkombinációk erőteljes figyelmeztető jelzést adnak a behatolók tevékenységéről. Például az incidensek kivizsgálása során megállapításra került, hogy 2021-ben az esetek 64%-ában PowerShell szkriptek és káros célú, nem PowerShell szkriptek együtt voltak láthatók; PowerShell és Cobalt Strike kombinációk az esetek 56%-ában; valamint PowerShell és PsExec az esetek 51%-ában volt megtalálható. Az ilyen összefüggések észlelése korai figyelmeztetésként szolgálhat egy közelgő támadás kapcsán vagy megerősítheti egy aktív támadás jelenlétét.
• A ransomware incidensek 50%-ának képezte részét adatlopás – és a rendelkezésre álló adatok alapján az adatlopás és a ransomware üzembe helyezése közötti átlagos rés 4,28 nap volt. A Sophos által 2021-ben kezelt incidensek 73%-ában volt jelen ransomware. Ezeknek a ransomware incidenseknek 50%-a szintén adatlopással járt. Az adatok ellopása gyakran a támadás utolsó szakasza volt a zsarolóvírus elszabadítása előtt, és az incidensek vizsgálata kimutatta, hogy a köztük lévő átlagos idő 4,28 nap, a medián pedig 1,84 nap volt.
• A Conti volt a legtermékenyebb ransomware-csoport 2021-ben, az összes incidens 18%-áért volt felelős. A REvil zsarolóvírus minden 10. incidensért volt felelős, míg a további elterjedt ransomware családok közé tartozik a DarkSide (a Colonial Pipeline elleni hírhedt támadás mögött álló RaaS) és a Black KingDom, az egyik “új” ransomware család, amely 2021. márciusában jelent meg a ProxyLogon sebezhetőség nyomán. Az elemzésben szereplő 144 incidens során 41 különböző ransomware-használó ellenfelet azonosítottak. Ezek közül 28 új csoport volt, akiket először 2021-ben jelentettek. A 2020-as incidenseknél látott ransomware csoportok közül 18 tűnt el a listáról 2021-ben.

“A veszélyre figyelmeztető jelek közé tartozik, amelyekre a védekezőknek ügyelnie kell, a legitim eszközök, eszközök kombinációjának vagy egy tevékenységnek egy váratlan helyen vagy szokatlan időben történő észlelése,”

– mondta Shier.

“Érdemes megjegyezni, hogy előfordulhatnak olyan időszakok is, amikor nincs aktivitás vagy alacsony intenzitással történik, de ez nem jelenti azt, hogy a szervezetet nem hackelték meg. Például valószínűleg sokkal több, jelenleg fel nem fedezett ProxyLogon- vagy ProxyShell-feltörés történt, ahol webshelleket és hátsó ajtókat telepítettek a célpontok rendszereire a folyamatos hozzáférés érdekében és most csendben ülnek, amíg a hozzáférést felhasználják vagy eladják. A védekezőknek készen kell állniuk minden gyanús jel esetén és azonnal ki kell azt vizsgálniuk. Ki kell javítaniuk a kritikus bugokat, különösen a széles körben használt szoftverekben és prioritásként meg kell erősíteniük a távoli hozzáféréses szolgáltatások biztonságát. Amíg a kívülről elérhető belépési pontokat le nem zárják és teljes mértékben mindent el nem hárítanak, amit a támadók tettek a hozzáférés létrehozása és megtartása érdekében, szinte bárki végigsétálhat utánuk a rendszeren és valószínűleg meg is teszi azt majd.”

Összefoglaló: Az aktív támadások anatómiája 2021-ben

Az incidenskezelő vizsgálatokból származó fő megállapítások

• 15 nap:    a támadók tartózkodási idejének mediánja – a 2020-as 11 naphoz képest nőtt.
• 34 nap:    a tartózkodási idő mediánja a ransomware-rel nem járó behatolások esetén.
• 4,28 nap: az adatlopás és a ransomware üzembe helyezése közötti átlagos idő.
• 47%: A támadások 47%-a egy kiaknázott sebezhetőséggel kezdődött.
• 82%: A támadók 82%-a használt RDP-t a belső mozgásra – a 2020-as 69%-hoz képest nőtt.
• 73%: A támadások 73%-ának részét képezte ransomware.
• 18%: A zsarolóvírus-támadások 18%-a tulajdonítható a Continak – a 2020-as 5%-hoz képest növekedett.
• 38%: A támadások 38% adatlopással járt – növekedés a 2020-as 27%-hoz képest.