Cyberprzestępcy przeprowadzają ataki coraz szybciej i skutecznie zacierają po sobie ślady – wynika z badania firmy Sophos. Blisko 40% ataków z użyciem ransomware jest przeprowadzanych w mniej niż 5 dni po tym jak hakerzy uzyskają dostęp do firmowych zasobów. Co więcej, włamujący się do systemów często wyłączają dzienniki telemetryczne lub usuwają ich treść, aby jeszcze trudniej było ich namierzyć.
W badaniu Active Adversary Report for Security Practitioners zrealizowanym przez firmę Sophos przeanalizowano 232 włamania hakerów do firmowych systemów w 34 krajach na całym świecie. Autorzy raportu zwracają uwagę, że średni czas obecności cyberprzestępców w infrastrukturze IT (od momentu udanego włamania do rozpoczęcia szkodliwych działań) z każdym rokiem ulega skróceniu. Prawie 4 na 10 (38%) wszystkich ataków z wykorzystaniem ransomware trwa krócej niż 5 dni. Eksperci Sophos klasyfikują je jako „szybkie”.
Specjaliści wskazują, że nie ma zbyt wielu różnic między „szybkimi” (mniej niż 5 dni) a „powolnymi” (więcej niż 5 dni) działaniami cyberprzestępców. We wszystkich przypadkach hakerzy stosowali podobny zestaw technik i narzędzi. W „szybkich” atakach cyberprzestępcy najczęściej uzyskiwali dostęp do firmowych zasobów poprzez naruszenie bezpieczeństwa łańcucha dostaw, wysyłanie wiadomości ze złośliwymi plikami udającymi zwykłe dokumenty oraz korzystanie z pozyskanych nielegalnie danych logowania. Jeśli czas wykrycia przekraczał 5 dni, atakujący najczęściej wykorzystywali znalezione luki w systemach zabezpieczeń.
Eksperci Sophos podkreślają, że nie ma konieczności wymyślania na nowo strategii zabezpieczania firm, a obrońcy powinni skupić się na szybkim reagowaniu na zagrożenia. Jest to klucz do skutecznego ograniczenia szkód powstałych na skutek cyberataku.
– Czas od wykrycia włamania do pełnego ograniczenia intruzom dostępu do danych powinien być jak najkrótszy – komentuje John Shier, dyrektor ds. technologii w firmie Sophos. – Dodatkowym utrudnieniem wydłużającym czas potrzebny na wdrożenie działań naprawczych jest brak dzienników telemetrycznych. Kompletne i rzetelne rejestry są absolutnie niezbędnym elementem skutecznej ochrony. Niestety bardzo często firmy nie mają potrzebnych im danych – dodaje ekspert.
Hakerzy nie chcą zostawiać po sobie śladów
Z danych Sophos wynika, że braki w dziennikach telemetrycznych dotyczyły aż 42% badanych ataków. W aż 8 na 10 (82%) tych przypadków cyberprzestępcy sami wyłączyli lub usunęli dane telemetryczne, aby zatrzeć po sobie ślady i tym samym utrudnić identyfikację. Dlatego ważne jest, aby utrudniać życie przestępcom na każdym kroku. Skuteczne zabezpieczenia mogą znacznie wydłużyć czas potrzebny włamywaczom do pozyskania danych. Dochodzi do niej najczęściej tuż przed wykryciem intruzów w systemie. Kradzież plików lub ich zaszyfrowanie są dla hakerów najbardziej wymagającym i kosztownym etapem ataku.
Bardzo ważnym elementem skutecznych zabezpieczeń jest również telemetria. Zapewnia ona pełny ogląd sytuacji i pozwala na eliminowanie „martwych punktów” w systemach ochrony. Dzięki monitorowaniu oczy obrońców zawsze są szeroko otwarte.
W raporcie Active Adversary Report for Security Practitioners podano przykład dwóch firm, które doświadczyły incydentów związanych z ransomware Cuba. Pierwsza z nich posiadała stały monitoring firmowej sieci za pośrednictwem usługi MDR (Managed Detection and Response, usługa zarządzanego wykrywania i reagowania na zagrożenia). Dzięki niej specjalistom ds. cyberbezpieczeństwa udało się wykryć aktywność hakerów w kilka godzin. Tym samym przeszkodzili oni w kradzieży plików.
Drugie z badanych przedsiębiorstw nie posiadało żadnych danych telemetrycznych – atak zauważyło kilka tygodni po fakcie. W tym czasie cyberprzestępcy zdołali już ukraść aż 75 gigabajtów poufnych informacji. Autorzy raportu zaznaczyli, że po miesiącu od interwencji zespołu Sophos Incident Response (IR) firma ta wciąż próbowała wrócić do normalnej działalności.
Jak dbać o bezpieczeństwo firmowych danych?
Według ekspertów Sophos, aby umocnić poziom ochrony infrastruktury IT, należy postawić na solidne zabezpieczenia wielowarstwowe i stałe monitorowanie infrastruktury. Im wyższy poziom ochrony, tym większych umiejętności hakerskich będzie wymagało jej złamanie. Wielu cyberprzestępców po prostu się podda, a innym atak zajmie więcej czasu, co działa na korzyść obrońców.
Warto analizować zarówno nowe, jak i stare sztuczki hakerów. Wyniki wewnętrznych śledztw IT są niezwykle cenne dla ekspertów zajmujących się cyberbezpieczeństwem. Badanie działalności cyberprzestępców może wpłynąć nie tylko na uszczelnienie firmowych zabezpieczeń, ale też mieć wpływ na opracowywanie nowych metod i narzędzi do walki z atakującymi.
O raporcie
Dokument Sophos Active Adversary Report for Security Practitioners powstał na bazie 232 przypadków naruszenia bezpieczeństwa analizowanych przez zespół Sophos Incident Response (IR) w dniach 1 stycznia 2022 – 30 czerwca 2023. Zaatakowane przez hakerów firmy, które wzięły udział w badaniu, reprezentują 25 branż w 34 różnych krajach. 83% ze wszystkich badanych przedsiębiorstw zatrudnia ponad 1000 pracowników.
