Exploatarea aplicatiilor care necesita acces la internet a fost cel mai popular vector de atac initial, anul trecut
calendar_month 01 Sep 2022, 14:19
Potrivit raportului recent Kaspersky Incident Response Analytics, mai mult de jumatate (53,6%) dintre atacurile cibernetice din 2021 au inceput cu exploatari ale vulnerabilitatilor. Alte metode comune de atac initial au inclus compromiterea conturilor si e-mailuri rau intentionate.
Atunci cand atacatorii isi planifica campaniile, de obicei urmaresc sa gaseasca probleme de securitate usor de identificat, cum ar fi servere publice cu vulnerabilitati binecunoscute, parole slabe sau conturi compromise. An de an, acesti vectori de acces initial au dus la un numar tot mai mare de incidente de securitate cibernetica de mare gravitate.
Analiza datelor anonimizate din cazurile de raspuns la incidente gestionate de Kaspersky Global Emergency Response Team (GERT) din intreaga lume arata ca exploatarea aplicatiilor publice, accesibile atat din reteaua interna, cat si prin intermediul internetului, a devenit cel mai utilizat vector initial pentru a patrunde in perimetrul unei organizatii. Ponderea acestei metode ca vector initial de atac a crescut de la 31,5% in 2020 la 53,6% in 2021, in timp ce utilizarea conturilor compromise si a e-mailurilor rau intentionate a scazut de la 31,6% la 17,9% si, respectiv, de la 23,7% la 14,3%. Aceasta schimbare este probabil legata de vulnerabilitatile descoperite pe serverele Microsoft Exchange anul trecut. Ubicuitatea acestui serviciu de e-mail si disponibilitatea publica a exploit-urilor pentru aceste vulnerabilitati au dus la un numar mare de incidente conexe.
In ceea ce priveste impactul atacurilor, criptarea fisierelor, care este unul dintre cele mai comune tipuri de ransomware si priveaza organizatiile de acces la datele lor, a ramas principala problema cu care se confrunta companiile, timp de trei ani la rand. In plus, numarul organizatiilor care au intalnit cryptors in reteaua lor a crescut semnificativ in perioada observata (de la 34% in 2019 la 51,9% in 2021). Un alt aspect alarmant este ca, in mai mult de jumatate din cazuri (62,5%), atacatorii petrec mai mult de o luna in interiorul retelei inainte de a cripta datele.
Acestia reusesc sa ramana neobservati in interiorul unei infrastructuri, in mare parte datorita instrumentelor OS, instrumentelor ofensive binecunoscute, dar si utilizarii cadrelor comerciale, care sunt implicate in 40% din totalul incidentelor. Dupa obtinerea accesului initial, atacatorii folosesc instrumente legitime in diferite scopuri: PowerShell pentru a colecta date, Mimikatz pentru a escalada privilegiile, PsExec pentru a executa comenzi de la distanta sau cadre precum Cobalt Strike pentru toate etapele atacului.
Pentru a minimiza impactul unui atac in caz de urgenta, Kaspersky recomanda urmatoarele:
Faceti copii de rezerva ale datelor, astfel incat sa puteti accesa in continuare fisiere esentiale in cazul unui atac ransomware si sa utilizati solutii capabile sa blocheze orice incercare de a cripta datele dumneavoastra.
Lucrati cu un partener de incredere in Incident Response Retainer pentru a aborda incidentele cu acorduri service-level rapide (SLA)
Antrenati-va in mod continuu echipa de raspuns la incidente pentru a-si mentine expertiza si pentru a ramane la curent cu peisajul in schimbare al amenintarilor
Implementati programe de securitate stricte pentru aplicatiile cu informatii de identificare personala
Intelegeti activitatea atacatorilor care vizeaza industria si regiunea dumneavoastra pentru a face o prioritate din dezvoltarea operatiunilor de securitate
Implementati o solutie Endpoint Detection and Response cu un serviciu Managed Detection and Response pentru a detecta si reactiona prompt la atacuri, printre alte caracteristici.
Raportul complet Incident Response Analytics este disponibil pe Securelist.
1 Raportul Incident Response Analyst ofera o perspectiva asupra serviciilor de investigare a incidentelor desfasurate de Kaspersky din ianuarie pana in decembrie 2021 in America de Sud si de Nord, Europa, Africa, Orientul Mijlociu, Asia, precum si Rusia si CSI.
Noutati