Търсене
Close this search box.

Повечето нападатели с ransomware използват един от трите основни вектора, за да компрометират мрежите и да получат достъп до критичните системи и данни на организациите.

Най-значимият вектор при успешните атаки с ransomware през 2022 г. например е бил свързан с използването на приложения с публично лице, на които се дължат 43% от всички пробиви, следвани от използването на компрометирани акаунти (24%) и злонамерена електронна поща (12%), според наскоро публикувания доклад на Kaspersky „The Nature of Cyber Incidents“.

Както използването на приложения, така и злонамерените имейли са намалели като дял от всички атаки в сравнение с предходната година, докато използването на компрометирани акаунти се е увеличило от 18% през 2021 г.

В крайна сметка: подсилването на най-често срещаните вектори на атака може да допринесе значително за предотвратяване на атака с рансъмуер. „Много компании не са първоначалните мишени на нападателите, но имат слаба ИТ сигурност и [позволяват] да бъдат хакнати лесно, така че киберпрестъпниците се възползват от възможността“, казва Константин Сапронов, ръководител на глобалния екип за спешни реакции в Kaspersky. „Ако разгледаме трите основни първоначални вектора, които заедно представляват почти 80% от всички случаи, можем да приложим някои защитни мерки за тяхното намаляване и да извървим много дълъг път към намаляване на вероятността да станем жертва.“

Най-важните първоначални вектори, цитирани от Kaspersky, съвпадат с по-ранен доклад на фирмата за реагиране на инциденти Google Mandiant, която установи, че едни и същи общи вектори съставляват трите основни техники – използване на уязвимости (32%), фишинг (22%) и откраднати пълномощия (14%) – но че участниците в ransomware са склонни да се фокусират върху използването и откраднатите пълномощия, които заедно съставляват почти половината (48%) от всички случаи на ransomware.

През 2020 г. и 2021 г. рансъмуерът се разраства, но през миналата година се стабилизира и дори леко спада. Но тази година ransomware и свързаната с него атака – изтичане на данни с цел събиране на откуп – изглежда се увеличават, като броят на организациите, публикувани в сайтове за изтичане на данни, се увеличава през първата половина на 2023 г., казва Джереми Кенели, водещ анализатор за анализ на финансовите престъпления в Mandiant.

„Това може да е ранно предупреждение, че отдихът, който видяхме през 2022 г., ще бъде краткотраен“, казва той, като добавя, че възможността да продължат да се използват същите първоначални вектори за достъп е подпомогнала атаките.

„През последните години не се е налагало хакерите, участващи в операции за получаване на откуп, да развиват значително своите тактики, техники и процедури (TTP), тъй като добре разбраните стратегии продължават да се оказват ефективни“, казва Кенели.

Очаквано трио: Експлойти, пълномощия, фишинг

През декември 2022 г. Агенцията за киберсигурност и инфраструктурна сигурност (CISA) предупреди, че нападателите обикновено използват пет първоначални вектора за достъп, включително трите, идентифицирани от Kaspersky и Mandiant, както и външни отдалечени услуги – като VPN и софтуер за отдалечено администриране – и атаки по веригата за доставки на трети страни, известни още като доверени отношения.

Повечето компромати са бързи или бавни: Бързите атаки компрометират системите и криптират данните в рамките на няколко дни, докато при бавните атаки участниците в заплахите обикновено проникват по-дълбоко в мрежата в продължение на месеци, като евентуално извършват кибершпионаж и след това разгръщат софтуер за откуп или изпращат бележка с искане за откуп, според доклада на Kaspersky.

Експлоатацията на публични приложения и използването на легитимни идентификационни данни също обикновено са по-трудни за откриване без някакъв вид мониторинг на приложенията или поведението, което води до по-дълго време на престой за нападателите, казва Сапронов от Kaspersky.

„Не се обръща достатъчно внимание на мониторинга на приложенията“, казва той. „Освен това, когато нападателите използват [експлоатация], те трябва да предприемат повече стъпки, за да постигнат целите си“.

Съвет: Проследяване на тенденциите в експлоатирането

Познаването на най-често срещаните подходи, които нападателите вероятно ще използват, може да помогне на защитниците да се информират. Например, компаниите трябва да продължат да приоритизират уязвимостите, които са експлоатирани в дивата природа. Като обръщат внимание на промените в екосистемата на заплахите, компаниите могат да се уверят, че са подготвени за вероятни атаки, казва Кенели от Mandiant.

„Поради скоростта, с която заплахите могат да използват експлойт код в подкрепа на операциите за проникване, разбирането на това кои уязвимости се експлоатират активно, дали експлойт кодът е публично достъпен и дали дадена кръпка или стратегия за отстраняване на грешки е ефективна, може лесно да спаси организациите от справяне с една или повече активни интрузии“, казва той.

Но избягвайте да наблягате прекалено много на защитата срещу конкретни първоначални вектори за достъп, тъй като нападателите непрекъснато се адаптират към защитите, добавя Кенели.

„Конкретните вектори на заразяване, които са най-разпространени в даден момент, не трябва да променят като цяло защитната позиция на организацията, тъй като участниците в заплахите непрекъснато променят операциите си, за да се съсредоточат върху онези вектори, които се оказват най-успешни“, казва той. „Намаляването на разпространението на даден вектор не означава, че той представлява значително по-малка заплаха – например, наблюдава се бавно намаляване на дела на проникванията, при които достъпът е получен чрез фишинг, но електронната поща все още се използва от много групи за заплахи с голямо въздействие.“

Източник: DARKReading

Подобни публикации

7 ноември 2024

Nokia: Hяма доказателства, че хакери са проникн...

Както писахме още в неделя, Nokia разследва предполагаема кибератак...
7 ноември 2024

Ботнетът за Android "ToxicPanda" поразява банки...

Изследователите определиха нов ботнет на сцената, за който първонач...
7 ноември 2024

Бандите все по-често използват комплектът Winos...

Хакерите все по-често се насочват към потребителите на Windows със ...
7 ноември 2024

Notepad ще получи инструмент за пренаписване, з...

Microsoft започна да тества инструменти за пренаписване на текст в ...
7 ноември 2024

Бъг в Cisco позволява да се изпълняват команди ...

Cisco е отстранила уязвимост с максимална степен на сериозност, коя...
7 ноември 2024

SteelFox превзема компютри с Windows, използвай...

Нов зловреден пакет, наречен „SteelFox“, добива криптовалута и крад...
6 ноември 2024

Системите на съдилищата в щата Вашингтон са офл...

Съдебните системи в щата Вашингтон не функционират от неделя, когат...
6 ноември 2024

Германия готви закон за защита на белите хакери

Федералното министерство на правосъдието в Германия е изготвило зак...
Бъдете социални
Още по темата
07/11/2024

Nokia: Hяма доказателства, ...

Както писахме още в неделя, Nokia...
07/11/2024

Ботнетът за Android "ToxicP...

Изследователите определиха нов ботнет на сцената,...
07/11/2024

SteelFox превзема компютри ...

Нов зловреден пакет, наречен „SteelFox“, добива...
Последно добавени
07/11/2024

Nokia: Hяма доказателства, ...

Както писахме още в неделя, Nokia...
07/11/2024

Ботнетът за Android "ToxicP...

Изследователите определиха нов ботнет на сцената,...
07/11/2024

Бандите все по-често използ...

Хакерите все по-често се насочват към...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!