Rengeteg idejük van a támadóknak

K. Z. | Mielőtt felfedeznék őket, átlagosan tizenegy napot töltenek a hálózatokban a támadók, de a leghosszabb, felfedezés nélküli behatolás 15 hónapos volt – derül ki az Active Adversary Playbook 2021 című elemzéséből. Figyelembe véve, hogy a felderítés, a hozzáférési adatok megszerzése, egyéb adatok kilopása és más káros tevékenységek sok esetben perceket, esetleg órákat vesznek csak igénybe, a tizenegy napos átlagos szabad működés azt jelenti, hogy a támadók nagyon súlyos károkat okozhatnak a vállalkozások és az intézmények hálózataiban. Fontos megjegyezni azt is, hogy a zsarolóvírus-támadásoknál általában rövidebb a hálózatban töltött idő, mint a rejtőzködő támadásoknál, mivel ezeknél a pusztítás a fő cél.

A támadások 69 százalékánál használtak távoliasztal-protokollt (RDP-t) a hálózaton belüli laterális mozgáshoz. Az RDP-nél alkalmazott biztonsági intézkedések, mint például a virtuális magánhálózatok (VPN-ek) vagy a többlépcsős hitelesítés, általában a külső hozzáférés elleni védelemre fókuszálnak. Ezek azonban nem működnek, ha a támadó már a hálózaton belül van. A belső laterális mozgáshoz használt RDP egyre általánosabb az aktív, kézzel vezérelt támadásoknál, például azoknál, amelyeknek része a zsarolóvírus. A Sophos által vizsgált támadások 81 százalékának zsarolóvírus is részét képezte. A zsarolóvírus futtatása gyakran az a pont, amikor a támadás láthatóvá válik az IT-biztonsági csapat számára, ezért nem meglepő, hogy a Sophos erre az eredményre jutott. A Sophos által vizsgált más támadástípusok között szerepeltek például csak adatlopások, kriptobányász eszközök, banki és lemeztörlő trójaiak is.