Sophos a lansat Active Adversary Playbook 2021, studiu care detaliază comportamentele atacatorilor și instrumentele, tehnicile și procedurile (TTP) pe care specialiștii Sophos aflați în prima linie a luptei cu persoanele rău intenționate le-au întâlnit în activitatea lor pe parcursul anului 2020, precum și în prima parte a anului 2021. Datele colectate arată că timpul de mediu petrecut de un atacator în rețea înainte de detectare a fost de 11 zile – sau 264 de ore – cu cea mai lungă intruziune nedetectată care a durat 15 luni. Ransomware-ul prezentat în 81% dintre incidente și 69% din atacuri a implicat utilizarea protocolului Remote Desktop Protocol (RDP) pentru deplasarea în interiorul rețelei.

Raportul se bazează pe telemetria Sophos, precum și pe 81 de investigații de incident și informații din partea echipei Sophos Managed Threat Response (MTR) de vânători și analiști de amenințări și a echipei Sophos Rapid Response de respondenți la incidente. Scopul este de a ajuta echipele de securitate să înțeleagă ce fac adversarii lor în timpul atacurilor și cum să identifice și să se apere împotriva activității rău intenționate din rețeaua lor.

Principalele constatări din raport includ:

  • Timpul de ședere mediu al atacatorului înainte de detectare a fost de 11 zile – Pentru a pune acest lucru în context, 11 zile pot oferi atacatorilor 264 de ore pentru activități rău intenționate, cum ar fi deplasare în interiorul rețelei, recunoaștere, descărcare de acreditări, exfiltrare de date și multe altele. Având în vedere că unele dintre aceste activități pot dura câteva minute sau câteva ore pentru a fi implementate – desfășurându-se adesea noaptea sau în afara orelor de lucru standard – 11 zile oferă atacatorilor destul timp pentru a provoca daune în rețeaua unei organizații. De asemenea, este demn de remarcat faptul că atacurile ransomware tind să aibă un timp de ședere mai scurt decât atacurile „stealth”, deoarece acestea sunt toate legate de distrugere
  • 90% dintre atacurile observate au implicat utilizarea Remote Desktop Protocol (RDP) – și în 69% din toate cazurile, atacatorii au folosit RDP pentru deplasarea în interiorul rețelei – Măsurile de securitate pentru RDP, precum VPN-urile și Multi-Factor Authentication (MFA) tind să se concentreze asupra protejării accesului extern. Cu toate acestea, acestea nu funcționează dacă atacatorul se află deja în rețea. Utilizarea RDP pentru deplasarea în rețea este din ce în ce mai frecventă în atacurile de tip „hands-on-keyboard”, cum ar fi cele care implică ransomware
  • Corelații interesante apar printre primele cinci instrumente găsite în rețelele victimelor. De exemplu, când PowerShell este utilizat într-un atac, Cobalt Strike este observat în 58% din cazuri, PsExec în 49%, Mimikatz în 33% și GMER în 19%. Cobalt Strike și PsExec sunt utilizate împreună în 27% din atacuri, în timp ce Mimikatz și PsExec apar împreună în 31% din atacuri. În cele din urmă, combinația dintre Cobalt Strike, PowerShell și PsExec are loc în 12% din toate atacurile. Astfel de corelații sunt importante, deoarece detectarea lor poate servi drept avertizare timpurie cu privire la un atac iminent sau poate confirma prezența unui atac activ
  • Ransomware a fost implicat în 81% din atacurile pe care Sophos le-a investigat. Eliberarea ransomware-ului este adesea punctul în care un atac devine vizibil pentru o echipă de securitate IT. Prin urmare, nu este surprinzător faptul că marea majoritate a incidentelor pe care Sophos le-a răspuns la ransomware implicate. Alte tipuri de atac pe care Sophos le-a investigat au inclus numai exfiltrarea, criptomineri, troieni bancari, wipers, droppers, instrumente de testare / atac pentru penetrare și multe altele

„Peisajul amenințărilor devine din ce în ce mai aglomerat și mai complex, cu atacuri lansate de adversari cu o gamă largă de abilități și resurse, de la script kiddies până la grupuri susținute de diverse state. Acest lucru este o provocare pentru apărători”, a declarat John Shier, consilier senior în securitate la Sophos. „În ultimul an, respondenții noștri au contribuit la neutralizarea atacurilor lansate de peste 37 de grupuri de atac, folosind peste 400 de instrumente diferite între ele. Multe dintre aceste instrumente sunt utilizate și de administratorii IT și de profesioniștii în securitate pentru sarcinile lor de zi cu zi, iar identificarea diferenței dintre activitățile benigne și cele rău intenționate nu este întotdeauna ușoară.”

„Cu hackerii care petrec o medie de 11 zile în rețea, implementându-și atacul în timp ce se amestecă cu activitatea IT de rutină, este esențial ca apărătorii să înțeleagă semnele de avertizare pe care trebuie să le urmărească și să le investigheze. Unul dintre cele mai mari semnalizări roșii, de exemplu, este atunci când un instrument legitim sau o activitate este detectată într-un loc neașteptat. Mai presus de toate, apărătorii ar trebui să-și amintească că tehnologia poate face foarte mult, dar, în peisajul amenințărilor actuale, este posibil să nu fie suficientă. Experiența umană și capacitatea de a răspunde sunt o parte vitală a oricărei soluții de securitate.”

Alte subiecte tratate în raport includ tactica și tehnicile cele mai susceptibile de a semnala o amenințare activă și de a garanta o investigație mai atentă, cele mai vechi semne de atac, cele mai cunoscute etape, tipurile de amenințări și artefactele periculoase, cele mai răspândite grupuri de adversari observate și multe altele.

Pentru a afla mai multe despre comportamentele atacatorilor, tactici, tehnici și proceduri (TTP), citiți Sophos Active Adversary Playbook 2021.

Sursa: Sophos