- Až 38 % „rychlých“ ransomwarových útoků popisovaných ve studii proběhlo do 5 dnů od prvotního přístupu do sítě
- „Rychlé“ ransomwarové útoky brání včasné reakci obránců
Sophos, celosvětový lídr a inovátor v oblasti poskytování kybernetické bezpečnosti formou služby, představil studii Active Adversary Report for Security Practitioners, která zjistila, že telemetrické záznamy chyběly v téměř 42 % zkoumaných případů útoků. V 82 % z těchto případů kyberzločinci telemetrii vypnuli nebo vymazali, aby po sobě zametli stopy. Studie zahrnuje případy reakcí na incidenty, které společnost Sophos analyzovala od ledna 2022 do první poloviny roku 2023.
Mezery v telemetrii omezují tolik potřebný přehled o dění v sítích a systémech organizací, zejména proto, že doba pohybu útočníka v síti (tedy doba od počátečního přístupu do detekci) se stále zkracuje. Tím se zkracuje i doba, kterou mají obránci na účinnou reakci na incident.
„Při reakci na aktivní hrozbu je rozhodující čas. Doba mezi zjištěním počátečního přístupu a úplným odvrácením hrozby by měla být co nejkratší. Čím dále v řetězci útoku se útočník dostane, tím větší budou mít obránci problémy. Chybějící telemetrie jen prodlužuje dobu nápravy, a to si většina organizací nemůže dovolit. Proto je nezbytné úplné a přesné logování. Až příliš často se ale setkáváme s tím, že organizace nemají potřebná data k dispozici,“ řekl John Shier, technický ředitel společnosti Sophos.
Sophos ve své studii klasifikuje ransomwarové útoky s dobou pohybu v síti kratší nebo rovnou pěti dnům jako „rychlé“, a ty tvořily 38 % zkoumaných případů. „Pomalé“ ransomwarové útoky jsou takové, při kterých se útočníci zdrželi v síti déle než pět dní. Ty představují 62 % případů.
Při zkoumání těchto „rychlých“ a „pomalých“ ransomwarových útoků na detailní úrovni se nástroje, techniky a binární soubory typu LOLBins (living-off-the-land), které útočníci nasadili, příliš nelišily, což naznačuje, že obránci nemusí se zkracující se dobou pohybu útočníků v síti vymýšlet nové obranné strategie. Obránci si ale musí uvědomit, že rychlé útoky by mohly ztížit včasnou reakci, což by vedlo k větší destrukci.
„Kyberzločinci inovují, jen když musí, a jen do té míry, aby se dostali ke svému cíli. Útočníci nezmění to, co funguje, i když se v době od proniknutí do sítě po detekci pohybují rychleji. To je pro organizace dobrá zpráva, protože nemusí radikálně měnit svou obrannou strategii, přestože útočníci postupují rychleji. Stejná obrana, která detekuje rychlé útoky, se použije na všechny incidenty bez ohledu na rychlost. To zahrnuje kompletní telemetrii, komplexní ochranu a všudypřítomné monitorování,“ řekl Shier. „Klíčem k úspěchu je zkomplikovat útok jakkoli je to možné. Pokud útočníkům ztížíte práci, můžete získat cenný čas na reakci a prodloužit každou fázi útoku.“
„Pokud například zkomplikujete ransomwarový útok, můžete oddálit dobu do exfiltrace dat,“ radí Shier. „Exfiltrace přitom často nastává těsně před detekcí a je také často tou nejnákladnější částí útoku. To se stalo ve dvou případech ransomwarových útoků skupiny Cuba. Jedna ze společností měla zavedeno nepřetržité monitorování pomocí MDR, takže jsme byli schopni odhalit škodlivou aktivitu a zastavit útok během několika hodin, abychom zabránili krádeži dat. Druhá společnost takový bezpečnostní prvek neměla, a útok zaznamenala až několik týdnů po prvotním přístupu a poté, co skupina Cuba již úspěšně exfiltrovala 75 gigabajtů citlivých dat. Teprve pak zavolali náš tým pro reakci na incidenty, a ještě o měsíc později se stále snažili vrátit k běžnému provozu.“
Studie Sophos Active Adversary Report for Security Practitioners vychází z poznatků při 232 případech reakce společnosti Sophos na incidenty ve 25 odvětvích v období od 1. ledna 2022 do 30. června 2023. Organizace, které byly cílem útoku, se nacházely ve 34 různých zemích na šesti kontinentech. Plných 83 % případů pocházelo z organizací s méně než 1 000 zaměstnanci.
Studie Sophos Active Adversary Report for Security Practitioners poskytuje užitečné informace o tom, jak by měli bezpečnostní specialisté nejlépe utvářet svou obrannou strategii. Více o chování, nástrojích a technikách útočníků nabízí studie Active Adversary Report for Security Practitioners na stránkách Sophos.com.
Bezpečnostní zpravodajství
S cílem zvýšit obecnou úroveň bezpečnosti organizací Sophos pravidelně zpřístupňuje své bezpečnostní reporty a výzkumné zprávy. Podrobnosti o zkracující se době pohybu útočníků v síti a měnícím se chování a technikách útočníků najdete ve studii Active Adversary Report for Tech Leaders 2023. Změny chování, technik a taktiky útočníků popisuje studie 2023 Active Adversary Report for Business Leaders, založená na analýze řešení více než 150 incidentů službou Sophos Incident Response. K dispozici je i pohled, jak se manažeři IT a kybernetické bezpečnosti dívají na „Stav kybernetické bezpečnosti v roce 2023 z pohledu vlivu útočníků na podnikání obránců“.
Průběžná zjištění týmu Sophos X-Ops a jeho průlomový výzkum hrozeb je po registraci k dispozici na blogu Sophos X-Ops. Popisy různých aktérů ransomwarových hrozeb, jejich taktik, technik a postupů na základě nejnovějšího výzkumu společnosti Sophos v oblasti ransomwaru najdete v Ransomware Threat Intelligence Center.