Potrivit raportului recent Kaspersky Incident Response Analytics, mai mult de jumătate (53,6%) dintre atacurile cibernetice din 2021 au început cu exploatări ale vulnerabilităților. Alte metode comune de atac inițial au inclus compromiterea conturilor și e-mailuri rău intenționate.
Atunci când atacatorii își planifică campaniile, de obicei urmăresc să găsească probleme de securitate ușor de identificat, cum ar fi servere publice cu vulnerabilități binecunoscute, parole slabe sau conturi compromise. An de an, acești vectori de acces inițial au dus la un număr tot mai mare de incidente de securitate cibernetică de mare gravitate.
Analiza datelor anonimizate din cazurile de răspuns la incidente gestionate de Kaspersky Global Emergency Response Team (GERT) din întreaga lume arată că exploatarea aplicațiilor publice, accesibile atât din rețeaua internă, cât și prin intermediul internetului, a devenit cel mai utilizat vector initial pentru a pătrunde în perimetrul unei organizaţii. Ponderea acestei metode ca vector inițial de atac a crescut de la 31,5% în 2020 la 53,6% în 2021, în timp ce utilizarea conturilor compromise și a e-mailurilor rău intenționate a scăzut de la 31,6% la 17,9% și, respectiv, de la 23,7% la 14,3%. Această schimbare este probabil legată de vulnerabilitățile descoperite pe serverele Microsoft Exchange anul trecut. Ubicuitatea acestui serviciu de e-mail și disponibilitatea publică a exploit-urilor pentru aceste vulnerabilități au dus la un număr mare de incidente conexe.
În ceea ce privește impactul atacurilor, criptarea fișierelor, care este unul dintre cele mai comune tipuri de ransomware și privează organizațiile de acces la datele lor, a rămas principala problemă cu care se confruntă companiile, timp de trei ani la rând. În plus, numărul organizațiilor care au întâlnit cryptors în rețeaua lor a crescut semnificativ în perioada observată (de la 34% în 2019 la 51,9% în 2021). Un alt aspect alarmant este că, în mai mult de jumătate din cazuri (62,5%), atacatorii petrec mai mult de o lună în interiorul rețelei înainte de a cripta datele.
Aceștia reușesc să rămână neobservați în interiorul unei infrastructuri, în mare parte datorită instrumentelor OS, instrumentelor ofensive binecunoscute, dar și utilizării cadrelor comerciale, care sunt implicate în 40% din totalul incidentelor. După obținerea accesului inițial, atacatorii folosesc instrumente legitime în diferite scopuri: PowerShell pentru a colecta date, Mimikatz pentru a escalada privilegiile, PsExec pentru a executa comenzi de la distanță sau cadre precum Cobalt Strike pentru toate etapele atacului.
Pentru a minimiza impactul unui atac în caz de urgență, Kaspersky recomandă următoarele:
- Faceți copii de rezervă ale datelor, astfel încât să puteți accesa în continuare fișiere esențiale în cazul unui atac ransomware și să utilizați soluții capabile să blocheze orice încercare de a cripta datele dumneavoastră.
- Lucrați cu un partener de încredere în Incident Response Retainer pentru a aborda incidentele cu acorduri service-level rapide (SLA)
- Antrenați-vă în mod continuu echipa de răspuns la incidente pentru a-și menține expertiza și pentru a rămâne la curent cu peisajul în schimbare al amenințărilor
- Implementați programe de securitate stricte pentru aplicațiile cu informații de identificare personală
- Înțelegeți activitatea atacatorilor care vizează industria și regiunea dumneavoastră pentru a face o prioritate din dezvoltarea operațiunilor de securitate
- Implementați o soluție Endpoint Detection and Response cu un serviciu Managed Detection and Response pentru a detecta și reacționa prompt la atacuri, printre alte caracteristici.
Raportul complet Incident Response Analytics este disponibil pe Securelist.