Рансъмуер: времето на „пребиваване“ е под 24 часа

В последните няколко месеца има скок на броя на организациите-жертви на “изнудване чрез разгласа” за хакване, установиха изследователи (снимка: CC0 Public Domain)

При рансъмуер атаки средното време на „пребиваване“ на злосторниците в инфраструктурите на жертвите е спаднало драстично в последните 12 месеца. Ако преди година то е било средно четири дни и половина, сега е по-малко от 24 часа. В 10% от случаите заключването на потребителските данни се случва в рамките на пет часа след първоначалния достъп, според най-нови данни.

Киберпрестъпниците изпълняват своите атаки колкото се може по-бързо, отчита анализът, дело на Secureworks. Като една от причините за ускоряването се посочва усъвършенстването на инструментите за откриване и реагиране на пробиви, според проучването.

„Основният фактор за намаляване на средното време на престой вероятно се дължи на желанието на киберпрестъпниците да постигнат по-малък шанс да бъдат открити. Индустрията за киберсигурност е станала много по-умела в откриването на дейностите, които са традиционни предшественици на рансъмуера“, каза Дон Смит, вицепрезидент на отдела за разузнаване на заплахи в Secureworks CTU.

„В резултат на това участниците в атаките се фокусират върху по-прости и по-бързи за изпълнение операции, а не върху големи, сложни събития за криптиране в цялото предприятие, които са значително по-сложни. Но рискът от ускорените атаки все още е висок“.

Констатациите на екипа на CTU отразяват аналогични изводи от доклад от август, изготвен от колегите им в Sophos X-Ops. Той показа, че като цяло – не само при инциденти с рансъмуер – средното време на престой на киберпрестъпниците в мрежите на организациите-жертви е спаднало с почти седмица от началото на 2022 г.

Последните четири месеца от настоящата година, са най-плодотворните от гледна точка на броя на жертвите, откакто атаките с репутанционно изнудване започнаха да набират скорост през 2019 г. Става дума за нападенията, при които атакуващите публикуват името на организацията-жертва и, поради риска за своята репутация, фирмата се оказва по-склонна да плати искания откуп. Общо 600 жертви са публикувани в сайтовете за изтичане на информация само през май 2023 г., три пъти повече от 2022 г.

„Въпреки шумните разкривания на рансъмуер банди и санкциите за тях, киберпрестъпниците са майстори на адаптацията, така че заплахата продължава да набира скорост“, каза Смит.

Най-широко разпространените начини за достъп за наблюдаваните рансъмуер банди включват сканиране и използване на експлойти при 32% от общия брой, прилагане на откраднати идентификационни данни в 32% от атаките, както и готов зловреден софтуер, разпространяван чрез фишинг, при 14% от случаите.

Успехът на техниката на сканиране и експлоатиране, която включва търсене на уязвими системи чрез търсачка като Shodan и след това използване на конкретен експлойт за компрометирането им, говори за продължаващата липса на внимание, отделяно на корекциите.

Смит каза, че екипите по сигурността рискуват да бъдат разсеяни от шума около ChatGPT и генеративните AI алгоритми. През това време най-успешните атаки през 2023 г. всъщност са резултат от тривиална грешка – инфраструктура без корекции. „Киберпрестъпниците жънат плодовете от изпитани и тествани методи за атака, така че организациите трябва да се съсредоточат върху защитата си с елементарна киберхигиена. И да не се увличат от шумотевицата“, каза той.

Коментар