Новите AI инструменти принуждават хакерите да действат по-бързо

Средното време, в което кибернападатели остават неоткрити, се е свило от 10 на 8 дни през първите седем месеца на 2023 г., а при атаки с криптовируси (ransomware) то е не повече от пет дни.

Средното време - т.е. времето между достъпа на нападател, атакуващ системите на жертвата, и откриването на атаката - е намаляло значително. То е намаляло от 10 на осем дни за периода между януари и юли 2023 г., като след резкият ръст през 2021 г. през цялата 2022 г. бе намаляло с още пет дни - от 15 на 10 дни.

Това показват данните, извлечени от казусите с реагиране при инциденти на Sophos X-Ops, описани в доклада за активните врагове на технологичните лидери през 2023 г. Статистиката може да се приеме като добра новина, като знак, че възможностите за откриване на нападения от екипите за сигурност се подобряват, включително заради употребата на технологии с изкуствен интелект. От друга страна, тя отразява и все по-добре организирани, технически умели и оперативно ефективни участници в заплахите, които знаят какво искат и как да го получат.

Докладът X-Ops установява, че сега на атакуващите са им необходими приблизително 16 часа, за да достигнат до критичните активи на активната директория Active Directory (AD) на своите жертви. Такива активи обикновено управляват идентичността и достъпа до организационни ресурси. Това ги превръща в златна мина за нападатели, които искат да увеличат привилегиите си, обяснява главният технологичен директор на Sophos Джон Шайър.

С все по-широкото възприемане на технологии като XDR и услуги като MDR расте и способността ни да откриваме такива атаки по-рано

Джон Шайър

главен технологичен директор на Sophos

"Атакуването на инфраструктурата на Active Directory на дадена организация има смисъл, и то от най-неприятна гледна точка, казва той. Active Directory обикновено е най-мощната и привилегирована система в мрежата, осигуряваща широк достъп до системите, приложенията, ресурсите и данните, които нападателите могат да използват в своите атаки. Когато нападател контролира AD, той може да контролира организацията. Въздействието, ескалацията и разходите за възстановяване след атака към Active Directory са причината, поради която именно тя е честа мишена."

"Получаването на контрол върху сървъра за Active Directory във веригата на атака предоставя на противниците няколко предимства. Те могат да останат незабелязани, докато определят следващия си ход, а след като са готови, да проникнат безпрепятствено в мрежата на жертвата", добавя той.

Според Шайър, пълното възстановяване на компрометиран домейн може да бъде продължително. Подобен тип атака уврежда основите на сигурността, на които разчита инфраструктурата на една организация. "Много често една успешна атака към AD означава, че екипът по сигурността трябва да започне от нулата", коментира още специалистът.

Атаките с криптовируси без заключване

Докладът разкрива, че в случай на атака с криптовирус, средното време за откриване на хакера, преди той да започне да шифрова данни и да иска откуп за ключа е намалено до пет дни. Това може да е свързано с разрастването на ransomware атаките, при които не се използва заключващ механизъм (ransomware locker), като неотдавнашната кампания на Clop срещу инструмента MOVEit на Progress Software.

Рансъмуер атаките са най-разпространеният тип случаи, върху които работи екипът на X-Ops, като те са засечени при 69% от ангажиментите. Шайър отбеляза, че ако оставим настрана известните инциденти с криптовируси, значителен брой атаки, изглежда, са пробиви в мрежата, които се състоят от проникване, но без ясен мотив. Това повдига въпроса колко от тях всъщност са били осуетени атаки, използващи ransomware.

"Успяхме да идентифицираме няколко атаки, извършени от Cuba и Vice Society, и двете са скандално известни доставчици на криптовируси. Но най-важното е, че тези атаки никога не са достигнали до етапа на шифроване на данни и искане на откуп", пише Шайър.

Отразявайки наблюдаваната отдавна, но като цяло неопределена тенденция за стартиране на рансъмуер през уикендите или при официалните празници, Sophos разкрива, че при 81% от наблюдаваните атаки с криптовируси крайният полезен товар е бил "взривен" извън работно време. При онези, които са разгърнати в работно време, само пет са били в делничен ден.

Броят на атаките, открити от телеметрията на X-Ops, се увеличава с напредването на седмицата, като 43% от атаките с криптовируси са открити в петък или събота, когато екипите за сигурност или приключват през уикенда, или са извън офиса.

Жертви на успеха си

Шайър предупреждава, че в някои отношения екипите по сигурността са станали "жертви на собствения си успех".

"С все по-широкото възприемане на технологии като XDR и услуги като MDR расте и способността ни да откриваме такива атаки по-рано, казва той. Намаляването на времето за откриване води до по-бърз отговор, което означава по-кратък работен прозорец за нападателите.

Същевременно престъпниците усъвършенстват своите навици, особено опитните и добре финансирани партньори на нападатели с криптовируси, които продължават да ускоряват своите шумно рекламирани атаки, изправени пред лицето на подобрените защити.

"Това не означава, че колективно сме по-сигурни и защитени, предупреждава Шайър. Нападателите все още нахлуват в нашите мрежи и когато времето не ги притиска, те са склонни да се задържат там, докато не ги открият. Така че всички инструменти на света няма да ви спасят, ако не гледате внимателно", твърди специалистът.