Útočníci se v napadených sítích pohybují rychleji, přibývá průniků na státní objednávku

Zpět na blog

Podle nové zprávy se zločinci začínají pohybovat uvnitř cílové sítě do 92 minut od získání přístupu a prokazují nové skryté schopnosti. Finančně motivovaní útočníci i skupiny pracující na objednávku států zvyšují svou schopnost proniknout do cílových sítí a po získání zázemí se pohybovat nepozorovaně, uvedli bezpečnostní výzkumníci.

Ve zprávě 2021 Threat Hunting Report poukazuje tým CrowdStrike Falcon OverWatch na výrazné zrychlení průměrné doby průniku, tedy doby, za kterou se útočník začne pohybovat laterálně od svého počátečního přístupového bodu k dalším systémům v cílové síti. Průměr mezi 1. červencem 2020 a 30. červnem 2021 je jedna hodina a 32 minut, což je trojnásobný pokles oproti roku 2020, přičemž 36 % útočníků se přesune za méně než 30 minut. Param Singh, viceprezident společnosti OverWatch, poukazuje na ransomware jako službu (RaaS) jako na faktor, který snižuje průměrnou dobu průniku.

Většina provozovatelů ransomwaru, kteří se věnovali „lovu velké zvěře“, což je taktika, při níž se zaměřují na data nebo aktiva vysoké hodnoty, začala také vyhrožovat zveřejněním dat k získání platby od obětí. Mnozí z nich vytvořili specializované webové stránky pro únik dat, na nichž zveřejňují údaje obětí, které jim nevyhoví.

Útoky na policejní oddělení, státní správy a další významné cíle v uplynulém roce podtrhují, že útočníci jsou stále odvážnější a schopnější. Anonymita, kterou poskytuje kryptoměny, a snadnost platforem RaaS dávají útočníkům větší jistotu.

Ransomware jako služba a podobné služby mají „vynikající dokumentaci“, což dále zvyšuje schopnost útočníků rychle se pohybovat v síti. Provozovatelé RaaS poskytují návod krok za krokem, jak se zaměřit na zdravotnické zařízení, finanční instituci a další potenciální oběti. Proces průzkumu, který byl dříve pro útočníky nezbytnou dovedností, lze nyní automatizovat.

Finančně motivovaní útočníci také tráví více času v cílových sítích, což je technika, která byla v minulosti běžná mezi skupinami pracujících na objednávku státu. Útočníci na vyděračský software si po útoku udrží zázemí, umístí svůj malware jako spící buňku a čekají, až přijde čas udeřit. Měsíce po své počáteční kampani spustí program znovu.

Pod dohledem státu

Útočníci z Číny si v minulém roce udržovali „vysoké operační tempo“ a vedou „trvalé a rozsáhlé kampaně“, jejichž cílem je krádež duševního vlastnictví a shromažďování informací, vysvětlili výzkumníci ve své zprávě. Skupiny se sídlem v Severní Koreji vykazovaly konzistentní úroveň aktivity a nadále zdokonalují své soubory nástrojů.

Výzkumníci uvádějí, že hlavním cílem státem sponzorovaných útoků je telekomunikační průmysl, na který připadá 40 % všech cílených aktivit v uplynulém roce a který se ukázal být více zasažen než technologie, zdravotnictví, státní správa a akademická sféra. Hnací silou těchto typů útoků je pak geopolitická situace.

Výzkumníci uvádějí, že zdrojem většiny aktivit pokročilých trvalých hrozeb (APT) jsou útočné skupiny z Číny, Severní Koreje a Íránu. V posledním roce však zaznamenali nárůst podezření na státem sponzorovanou aktivitu. Útočníci ve své primární sadě nástrojů stále častěji používají hotové nástroje, které ztěžují jejich atribuci.

Zdroj: Darkreading

15. 9. 2021