Повечето нападатели с ransomware използват един от трите основни вектора, за да компрометират мрежите и да получат достъп до критичните системи и данни на организациите.

Най-значимият вектор при успешните атаки с ransomware през 2022 г. например е бил свързан с използването на приложения с публично лице, на които се дължат 43% от всички пробиви, следвани от използването на компрометирани акаунти (24%) и злонамерена електронна поща (12%), според наскоро публикувания доклад на Kaspersky „The Nature of Cyber Incidents“.

Както използването на приложения, така и злонамерените имейли са намалели като дял от всички атаки в сравнение с предходната година, докато използването на компрометирани акаунти се е увеличило от 18% през 2021 г.

В крайна сметка: подсилването на най-често срещаните вектори на атака може да допринесе значително за предотвратяване на атака с рансъмуер. „Много компании не са първоначалните мишени на нападателите, но имат слаба ИТ сигурност и [позволяват] да бъдат хакнати лесно, така че киберпрестъпниците се възползват от възможността“, казва Константин Сапронов, ръководител на глобалния екип за спешни реакции в Kaspersky. „Ако разгледаме трите основни първоначални вектора, които заедно представляват почти 80% от всички случаи, можем да приложим някои защитни мерки за тяхното намаляване и да извървим много дълъг път към намаляване на вероятността да станем жертва.“

Най-важните първоначални вектори, цитирани от Kaspersky, съвпадат с по-ранен доклад на фирмата за реагиране на инциденти Google Mandiant, която установи, че едни и същи общи вектори съставляват трите основни техники – използване на уязвимости (32%), фишинг (22%) и откраднати пълномощия (14%) – но че участниците в ransomware са склонни да се фокусират върху използването и откраднатите пълномощия, които заедно съставляват почти половината (48%) от всички случаи на ransomware.

През 2020 г. и 2021 г. рансъмуерът се разраства, но през миналата година се стабилизира и дори леко спада. Но тази година ransomware и свързаната с него атака – изтичане на данни с цел събиране на откуп – изглежда се увеличават, като броят на организациите, публикувани в сайтове за изтичане на данни, се увеличава през първата половина на 2023 г., казва Джереми Кенели, водещ анализатор за анализ на финансовите престъпления в Mandiant.

„Това може да е ранно предупреждение, че отдихът, който видяхме през 2022 г., ще бъде краткотраен“, казва той, като добавя, че възможността да продължат да се използват същите първоначални вектори за достъп е подпомогнала атаките.

„През последните години не се е налагало хакерите, участващи в операции за получаване на откуп, да развиват значително своите тактики, техники и процедури (TTP), тъй като добре разбраните стратегии продължават да се оказват ефективни“, казва Кенели.

Очаквано трио: Експлойти, пълномощия, фишинг

През декември 2022 г. Агенцията за киберсигурност и инфраструктурна сигурност (CISA) предупреди, че нападателите обикновено използват пет първоначални вектора за достъп, включително трите, идентифицирани от Kaspersky и Mandiant, както и външни отдалечени услуги – като VPN и софтуер за отдалечено администриране – и атаки по веригата за доставки на трети страни, известни още като доверени отношения.

Повечето компромати са бързи или бавни: Бързите атаки компрометират системите и криптират данните в рамките на няколко дни, докато при бавните атаки участниците в заплахите обикновено проникват по-дълбоко в мрежата в продължение на месеци, като евентуално извършват кибершпионаж и след това разгръщат софтуер за откуп или изпращат бележка с искане за откуп, според доклада на Kaspersky.

Експлоатацията на публични приложения и използването на легитимни идентификационни данни също обикновено са по-трудни за откриване без някакъв вид мониторинг на приложенията или поведението, което води до по-дълго време на престой за нападателите, казва Сапронов от Kaspersky.

„Не се обръща достатъчно внимание на мониторинга на приложенията“, казва той. „Освен това, когато нападателите използват [експлоатация], те трябва да предприемат повече стъпки, за да постигнат целите си“.

Съвет: Проследяване на тенденциите в експлоатирането

Познаването на най-често срещаните подходи, които нападателите вероятно ще използват, може да помогне на защитниците да се информират. Например, компаниите трябва да продължат да приоритизират уязвимостите, които са експлоатирани в дивата природа. Като обръщат внимание на промените в екосистемата на заплахите, компаниите могат да се уверят, че са подготвени за вероятни атаки, казва Кенели от Mandiant.

„Поради скоростта, с която заплахите могат да използват експлойт код в подкрепа на операциите за проникване, разбирането на това кои уязвимости се експлоатират активно, дали експлойт кодът е публично достъпен и дали дадена кръпка или стратегия за отстраняване на грешки е ефективна, може лесно да спаси организациите от справяне с една или повече активни интрузии“, казва той.

Но избягвайте да наблягате прекалено много на защитата срещу конкретни първоначални вектори за достъп, тъй като нападателите непрекъснато се адаптират към защитите, добавя Кенели.

„Конкретните вектори на заразяване, които са най-разпространени в даден момент, не трябва да променят като цяло защитната позиция на организацията, тъй като участниците в заплахите непрекъснато променят операциите си, за да се съсредоточат върху онези вектори, които се оказват най-успешни“, казва той. „Намаляването на разпространението на даден вектор не означава, че той представлява значително по-малка заплаха – например, наблюдава се бавно намаляване на дела на проникванията, при които достъпът е получен чрез фишинг, но електронната поща все още се използва от много групи за заплахи с голямо въздействие.“