Masowa eksploatacja ProxyLogon oraz ProxyShell Wydaje się, że luki w Microsoft Exchange Server przez tak zwanych brokerów początkowego dostępu (IAB) spowodowały znaczny wzrost mediany czasu przebywania, który wzrósł o 36% w 2021 r. z 11 dni do 15, zgodnie z najnowszą edycją Sophos Poradnik aktywnego przeciwnika.
Raport, w którym szczegółowo opisano zachowania napastników zaobserwowane przez zespół szybkiego reagowania Sophos, wyjaśnia, w jaki sposób IABktóre specjalizują się w przeprowadzaniu wstępnych włamań do środowisk sieci ofiar, zanim sprzedają swój dostęp innym cyberprzestępcom, w tym operatorom oprogramowania ransomware, stają się „istotną” częścią podziemnej gospodarki przestępczej.
„Świat cyberprzestępczości stał się niezwykle różnorodny i wyspecjalizowany. IAB rozwinęły branżę cyberprzestępczości chałupniczej, włamując się do celu, przeprowadzając rozpoznawczy rekonesans lub instalując backdoora, a następnie sprzedając dostęp pod klucz gangom oprogramowania ransomware do ich własnych ataków – powiedział John Shier, starszy doradca ds. bezpieczeństwa w Sophos.
„W tym coraz bardziej dynamicznym, opartym na specjalizacji krajobrazie cyberzagrożeń organizacjom może być trudno nadążyć za ciągle zmieniającymi się narzędziami i podejściami stosowanymi przez atakujących. Bardzo ważne jest, aby obrońcy wiedzieli, czego szukać na każdym etapie łańcucha ataków, aby mogli jak najszybciej wykrywać i neutralizować ataki”.
Shier wyjaśnił, że dla IAB sukces zależy od bycia pierwszym na miejscu przestępstwa, co oznacza, że tacy aktorzy mają tendencję do występowania we wszystkich nowo zgłoszonych lub ujawnionych lukach w zabezpieczeniach, aby mogli się włamać, zanim ich ofiary zdążą naprawić.
Następnie idą do pracy, zabezpieczając przyczółek i być może przeprowadzając jakiś ruch eksploracyjny, aby dowiedzieć się więcej o swoich ofiarach, zanim dokonają sprzedaży komuś innemu – zwykle operatorowi oprogramowania ransomware.
„Świat cyberprzestępczości stał się niezwykle różnorodny i wyspecjalizowany. Bardzo ważne jest, aby obrońcy rozumieli, czego szukać na każdym etapie łańcucha ataków, aby mogli jak najszybciej wykrywać i neutralizować ataki”.
John Shier, Sophos
Reklama
Proces ten oczywiście zajmuje trochę czasu – może to potrwać miesiące lub nawet dłużej – więc dłuższe czasy przebywania prawdopodobnie odzwierciedlają zaangażowanie IAB.
Shier powiedział, że w przypadku ProxyLogon i ProxyShell było bardzo prawdopodobne, że doszło do bardzo wielu włamań, które są obecnie nieznane, gdzie powłoki internetowe i backdoory zostały po cichu wszczepione i teraz czekają na „sprzedanie”.
„Czerwone flagi, na które powinni zwracać uwagę obrońcy, obejmują wykrycie legalnego narzędzia, kombinacji narzędzi lub działania w nieoczekiwanym miejscu lub w nietypowym czasie. Warto zauważyć, że mogą być również okresy małej lub żadnej aktywności, ale to nie znaczy, że organizacja nie została naruszona” – powiedział Shier.
„Obrońcy muszą być czujni na wszelkie podejrzane sygnały i natychmiast prowadzić dochodzenie. Muszą łatać krytyczne błędy, zwłaszcza te w powszechnie używanym oprogramowaniu, a przede wszystkim wzmocnić zabezpieczenia usług zdalnego dostępu. Dopóki ujawnione punkty wejścia nie zostaną zamknięte i wszystko, co atakujący zrobili, aby ustanowić i zachować dostęp, zostanie całkowicie wyeliminowane, prawie każdy może za nimi wejść i prawdopodobnie to zrobi” – powiedział.
W raporcie zwrócono również uwagę na pokrewny trend, który wydaje się teraz pojawiać, polegający na tym, że wiele podmiotów, w tym IAB, kryptokopacze i gangi ransomware – nawet wiele gangów ransomware – uzyskuje jednocześnie dostęp do tej samej organizacji. Jest to trend, który, jak przewidział Shier, ukształtuje krajobraz zagrożeń w 2022 roku.
„Dzięki możliwościom wynikającym z niezałatanych luk w zabezpieczeniach ProxyLogon i ProxyShell oraz rosnącej popularności IAB, widzimy więcej dowodów na istnienie wielu atakujących w jednym celu. Jeśli sieć jest zatłoczona, napastnicy będą chcieli działać szybko, aby pokonać konkurencję” — powiedział Shier.
The Poradnik aktywnego przeciwnika opiera się na danych zebranych przez zespoły Sophos z prawie 150 incydentów wymierzonych w organizacje różnej wielkości, w wielu branżach na całym świecie.
Jednak inne źródła danych różnią się. Podobne badanie incydentów, na które zareagował Mandiant, opublikowane wcześniej w 2022 roku, sugerował dokładnie coś przeciwnego – że czasy przebywania uległy skróceniu. Jak zawsze, prawda o niejasnej sytuacji prawdopodobnie leży gdzieś pomiędzy tymi dwoma.
Amerykański sędzia, który wydał rozkaz Jabłko aby umożliwić programistom sprzedaż aplikacji poza oficjalną Sklep z aplikacjami ostro skrytykował reakcję...
WiSA Association, spółka zależna WiSA Technologies, oraz CITECH, wiodący południowokoreański producent, ogłosiły, że obie firmy zawarły strategiczne partnerstwo mające...
Amerykański sędzia, który wydał rozkaz Jabłko aby umożliwić programistom sprzedaż aplikacji poza oficjalną Sklep z aplikacjami ostro skrytykował reakcję producenta iPhone'a.
Epickie gry wrócił...
WiSA Association, spółka zależna WiSA Technologies, oraz CITECH, wiodący południowokoreański producent, ogłosiły, że obie firmy zawarły strategiczne partnerstwo mające na celu integrację najnowszego...
