Кибератаки: 56% от случаите се дължат на съществуващи логини

Picture of e-security.bg
e-security.bg
Важно да знаете

В нов доклад на Sophos, фирма за сигурност, се казва, че нападателите са получили първоначален достъп до мрежата – 56% от всички случаи на MDR и IR – чрез използване на външни отдалечени услуги, като защитни стени и VPN, като са използвали валидни идентификационни данни.

Докладът Sophos Active Adversary Report 2025 съдържа подробна информация за поведението и техниките на нападателите от над 400 случая на Managed Detection and Response [MDR] и Incident Response [IR] през 2024 г.

Според доклада комбинацията от външни отдалечени услуги и валидни акаунти съвпада с основните причини за атаките.

За втора поредна година компрометираните идентификационни данни са основната причина за атаки номер едно [41% от случаите]. След това се нареждат експлоатираните уязвимости [21,79%] и атаките с груба сила [21,07%].

При анализа на MDR и IR разследванията екипът на Sophos X-Ops разгледа конкретно случаите на ransomware, ексфилтрация на данни и изнудване на данни, за да установи колко бързо нападателите преминават през етапите на атаката в рамките на организацията.

При тези три вида случаи медианното време между началото на атаката и ексфилтрацията е само 72,98 часа [3,04 дни]. Освен това медианното време от ексфилтрирането до откриването на атаката е било само 2,7 часа.

„Пасивната сигурност вече не е достатъчна. Въпреки че превенцията е от съществено значение, бързата реакция е от решаващо значение. Организациите трябва активно да наблюдават мрежите и да действат бързо спрямо наблюдаваната телеметрия.

Координираните атаки от мотивирани противници изискват координирана защита. „За много организации това означава съчетаване на специфични за бизнеса знания с експертно управление на откриването и реагирането.

Нашият доклад потвърждава, че организациите с проактивен мониторинг откриват атаките по-бързо и постигат по-добри резултати“, казва Джон Шиър, полеви CISO.

Докладът на Sophos за 2025 г. за активните противници разкрива още, че нападателите могат да действат бързо, като медианната стойност между първоначалния достъп и опита за пробив в Active Directory – критичен актив в средите с Windows – е само 11 часа.

Akira се очертава като най-разпространената група за рансъмуер през 2024 г., следвана от Fog и LockBit, като последният все още е активен въпреки голямото му премахване.

Откриването на атаки се е подобрило като цяло, като времето на престой – времето, през което нападателите остават неразкрити – е спаднало от четири дни на само два, до голяма степен благодарение на включването на случаи на MDR (Managed Detection and Response).

Времето на престой варира в зависимост от вида на случая: то се запазва стабилно на 4 дни за случаите на ransomware и 11,5 дни за случаите, които не са свързани с ransomware, при разследванията за реагиране на инциденти (IR).

За разлика от тях, при случаите на MDR времето за реакция е много по-бързо – 3 дни за ransomware и само 1 ден за атаки, които не са свързани с ransomware.

В доклада се подчертава също така, че 83% от случаите на разпространение на ransomware са се случили извън местното работно време, което показва, че нападателите предпочитат нощна дейност.

Освен това протоколът за отдалечен работен плот (Remote Desktop Protocol – RDP) е бил използван в 84% от случаите, което го прави най-често използваният инструмент на Microsoft.

За да засилят своята позиция по отношение на киберсигурността, Sophos съветва организациите да предприемат няколко ключови стъпки.

Първо, те трябва да затворят всички открити портове на протокола за отдалечен работен плот (RDP) и да въведат устойчива на фишинг многофакторна автентикация (MFA), където е възможно, за да намалят рисковете от неоторизиран достъп.

Освен това компаниите трябва да дадат приоритет на навременното пакетиране на уязвимите системи, особено на тези, които са изложени на интернет. От решаващо значение е внедряването на решения за откриване и реагиране на крайни точки (Endpoint Detection and Response – EDR) или управляеми решения за откриване и реагиране (Managed Detection and Response – MDR) с 24-часов мониторинг.

И накрая, наличието на добре дефиниран план за реагиране при инциденти – и редовното му тестване чрез симулации или настолни упражнения – може значително да подобри готовността за потенциални атаки.

#анализи, # атаки, # рансъмуер
По материали от Интернет

Подобни

Патент на Meta за ИИ симулации след смъртта променя етиката
16.02.2026
frank_rietsch-phoenix-9733510_640
FDA: Новите правила за носими устройства и ИИ между уелнеса и медицината
16.02.2026
healthcare-9444655_640
Сингулярността има дата? Провокативна прогноза с точен час
16.02.2026
fszalai-wormhole-7770303_640
Технологиите като фронт на сигурността: какво показа МKC 2026
15.02.2026
мсц
ИИ спътниците – утеха или риск за човешкото благополучие?
15.02.2026
robots
NanoLED – следващата граница в миниатюризацията на дисплеите
15.02.2026
aimeev83-bokeh-313993_640

Споделете

Facebook
LinkedIn

Бюлетин

С нашия бюлетин ще бъдеш сред първите, които научават за нови заплахи, практични решения и добри практики. Напълно безплатно и с грижа за твоята сигурност.

Абонирай се сега!

Категории

Киберсигурност
Важно да знаете
Зловреден код
Уязвимости
Поверителност
Знаете ли как
Факти и данни
За родители
Aрхив

Следвайте ни

Facebook Linkedin Youtube Rss

Популярни

Изземване на Zamunda, Arena и други торент сайтове
30.01.2026
seizure
Измамническите сайтове в България: как да ги разпознаем, проверим и защитим себе си
6.10.2025
bulgaria3
Социалните мрежи и младите - между канализиране на общественото мнение и манипулация
7.12.2025
spasov
Вишинг измами срещу потребители на Revolut
11.12.2025
revolut

Бъди в крак с киберсигурността

Абонирай се за нашия бюлетин и получавай директно в пощата си най-важните новини, експертни съвети и практически насоки за киберхигиена и защита онлайн. Кратко, полезно и без спам.