התארך זמן השהייה ברשת המותקפת בשיעור של 36%

יום א', 12 ביוני 2022

 

סופוס (Sophos),חברת אבטחת מידע וסייבר מובילה, פרסמה את דוח Active Adversary Playbook 2022ובו פרטים על התנהגות התוקפים במרחב הסייבר כפי שנצפתה במהלך שנת 2021 על ידי צוות התגובה המהירהשל סופוס.

על פי הממצאים, בשנת 2021 התארך זמן השהייה החציוני ברשת המותקפת בשיעור של 36% מ-11 ימים בשנת 2020 ל-15 ימים בשנת 2021. כמו כן, חושף הדוח אתהשלכותיהן של חולשות האבטחה ProxyShell  בשרתי Microsoft Exchange

"עולם פשיעת הסייבר הופך למגוון מאוד והתפתחו בו התמחויות של ממש. סחר בגישה ראשונית (IAB) הוא מודל עסקי חדש בתחום פשיעת הסייבר שבו פורצים תוקפים לרשת ארגונית, אוספים מידע על הרשת המותקפת, משתילים בה דלת אחורית ואז מוכרים את הגישה לקבוצות העוסקות במתקפות כופרה", מסביר ג'ון שייר, יועץ אבטחה בכיר בסופוס. "מתקפות הסייבר הופכות למתוחכמות, ממוקדות ותכליתיות יותר. כלים ושיטות תקיפה חדשים צצים חדשות לבקרים וארגונים רבים מתקשים לעמוד בקצב. לכן קיימת חשיבות רבה לכך שצוותי אבטחת הסייבר יכירו את שרשרת המתקפה וסימני האזהרה בכל שלב שלה כדי שיוכלו לזהות מתקפות ולנטרלן מוקדם ככל האפשר."

עוד נמצא במחקר של סופוס כי זמן השהייה ברשת המותקפת ארוך יותר בארגונים קטנים. זמן השהייה ברשת המותקפת של ארגונים המעסיקים עד ל?250 עובדים עומד על 51 ימים לערך, לעומת זמן שהייה של 20 ימים בארגונים המעסיקים 3,000 עד 5,000 עובדים.

 

ממצאים עיקריים נוספים של מחקר Playbooks:

 

  • זמן השהייה החציוני ברשת הארגונית עד לגילוי החדירה היה ארוך יותר בארגונים קטנים וענפי שוק עם אמצעי אבטחת סייבר פחות מקיפים, וכן במקרים של חדירות "רדומות" שבהן אורבים התוקפים ברשת הארגונית מבלי לפתוח במתקפה שתחשוף את דבר הפריצה לרשת כמו מתקפת כופר. זמן השהייה החציוני בארגונים שנפגעו ממתקפת כופרה עמד על 11 ימים. במקרים שבהם התוקפים פרצו לרשת הארגונית מבלי להוציא לפועל מתקפה משמעותית כמו מתקפת כופר (שיעור של 23% מהמקרים שנחקרו), עמד זמן השהייה החציוני על 34 ימים. זמני שהייה ארוכים יותר נצפו גם במוסדות חינוך והשכלה גבוהה ובארגונים קטנים המעסיקים עד ל?500 עובדים

 

  • זמני שהייה ארוכים יותר ברשת הארגונית ופרצות אבטחה שלא תוקנו חושפות את אותו ארגון ליותר ממתקפה אחת. חקירות של מתקפות סייבר חשפו מקרים שבהם אותו ארגון הותקף על ידי כמה תוקפי סייבר במקביל, ובהם סוחרי גישה ראשונית, קבוצות כופרהוכורי מטבעות וירטואליים.

 

  • על רקע הירידה שנצפתה בשימוש בפרוטוקול RDPכווקטור תקיפה לצורך השגת גישה לרשת הארגונית מרחוק, נרשמה דווקא עלייה בשימוש בפרוטוקול לצורך תנועה רוחבית בתוך הרשת המותקפת.  

שיעור של 50% ממתקפות הכופר כללו גם גניבת מידע, כשמרווח הזמן הממוצע בין גניבת המידע להתפרצות מתקפת הכופר עמד על 4.28 ימים. שיעור של 73% מהמקרים שלהם הגיבה סופוס בשנת 2021 היו מתקפת כופר. מתוכן, שיעור של 50% כללו גניבת מידע מארגונים. גניבת המידע היא בדרך כלל השלב האחרון של המתקפה לפני ביצוע מתקפת הכופר וממצאי המחקר מראים כי מרווח הזמן הממוצע בין גניבת המידע להתרפצות מתקפת הכופר עמד על 4.28 ימים, בעוד שמרווח הזמן החציוני עמד על 1.84 ימים