Средно 11 дена се крият хакерите в мрежата преди удар

Оказва се, че хакерите престояват много по-малко време в мрежата, отколкото се смяташе досега
(снимка: CC0 Public Domain)

Кибератаките с искане на откуп се отличават със средно 11 дена престой на хакерите в мрежата след пробива, преди да бъдат открити или да се „обадят“ с искане за откуп, сочи ново проучване. Най-често нападателите биват „забелязани“ именно чрез проявлението на рансъмуер.

11 дена е „повече от достатъчно“ време за нападателя да добие цялостна представа за това как изглежда целевата мрежа, къде се крият нейните слабости. След това е лесно за рансъмуер нападателите да я съсипят, казват експертите на Sophos, които са установили данните.

Цифрите, базирани на анкети сред пострадали организации, предполагат много по-кратко „време на престой“ за атакуващите, отколкото се смяташе досега. До момента най-оптимистичната цифра, която се сочеше в средите на специалистите по кибер-сигурност, бе 24 дена, отбелязва ZDNet.

От Sophos посочват, че може да има различни обяснения за това значително кратко време на „пребиваване“ на кибер-нападателите в мрежата на жертвата. Възможно е това да се дължи на добра организация на злодеите или на желанието да действат бързо, преди да бъдат неутрализирани.

Но, според експертите, най-вероятното обяснение е друго: самият вид на атаката е поразителен, опустошителен, съсипващ; благодарение на това тя става видима веднага, докато други видове атака, например кражбата на данни, могат да останат незабелязани много по-дълго.

„За да поставим това в контекст, 11 дена потенциално осигуряват на нападателите 264 часа за злонамерена дейност: разхождане из мрежите, разузнаване, изхвърляне на идентификационни данни, извличане на данни и други. Като се има предвид, че някои от тези дейности могат да отнемат само минути или няколко часа за изпълнение, тези 11 дена осигуряват на нападателите достатъчно време да се приготвят добре, за да нанесат значителен удар“, отбелязва Sophos.

По-голямата част от инцидентите, на които е реагирал спешният екип на компанията, са атаки с рансъмуер. Другите, по-малко практикувани видове атаки включват кражба на данни, криптомайнери, банкови троянски коне, изтриване на данни.

Друг забележителен момент е, че „входът“ за злодеите много често е протоколът за отдалечен работен плот (RDP). Около 30% от атаките започват именно чрез RDP. 69% от последващите вредни дейности на хакерите биват извършвани с RDP. Фишингът, от друга страна, е входната точка само за 12% от атаките. При 10% от атаките става дума за експлоатация на „незакърпена“ система.

Като цяло RDP е предпочитаният начин за проникване – това сочат наблюденията и на други фирми за киберсигурност. Установено е, че RDP е най-големият „вектор“ за проникване при инциденти с рансъмуер през 2020 г.

В Sophos са съставили и списък с най-често изявяващите се групи за искане на откупи. DarkSide – нов, но „професионален“ доставчик на услуги за криптиране с искане на откуп, стартирал дейност в средата на 2020 г., представлява само 3% от случаите, разследвани от Sophos до 2020 г. DarkSide предлага своя рансъмуер като услуга на други престъпни групи.

Бандата REvil беше в центъра на вниманието миналата година заради атаките срещу правителствени и здравни организации, както и заради високите си цени на искания откуп, които бяха средно около 260 000 долара. Според Sophos, REvil (известни още като Sodinokibi) са най-активната група за рансъмуер през 2020 г., заедно с Ryuk, която – според някои оценки – е спечелила 150 милиона долара чрез рансъмуер.

Други значими играчи в сферата са Dharma, Maze (не съществува вече), Ragnarok и Netwalker (вече не съществува).

Активността на групите за искане на откупи малко или много има допирни точки с политиката. Американските служби за киберсигурност настояват, че DarkSide е базирана в Русия, макар и да не е свързана с руското правителство, и настояват Москва спешно да предприеме мерки.

Коментар