Duże, dobrze prosperujące przedsiębiorstwa to niejedyne cele cyberprzestępców. Z raportu Sophos wynika, iż im mniejsza firma, tym dłużej atakujący są w stanie przetrwać w sieci – choćby ponad miesiąc. Badanie wskazuje też, iż do szkodliwej działalności najczęściej wykorzystywane są luki w Microsoft Exchange.
Średnia ilość dni pozostania niezauważonym w sieci po udanym cyberataku.W ubiegłym roku średni czas, po którym wykryto obecność cyberprzestępców w firmowej infrastrukturze IT, wydłużył się o 36%. Co więcej, zwykle zostają oni zauważeni dopiero w momencie, gdy oprogramowanie ransomware, którym zainfekowany jest system, zacznie swoją szkodliwą działalność. Ten rodzaj ataku stanowił aż 73% wszystkich analizowanych w raporcie przypadków.
Mała firma, wielkie kłopoty
Według raportu Sophos cyberprzestępcy dłużej przebywają w infrastrukturze IT mniejszych firm. W przypadku przedsiębiorstw liczących do 250 pracowników, atakujący są aktywni choćby 51 dni, a w podmiotach zatrudniających od 3 do 5 tys. osób – średnio 20 dni.
Luki w powszechnie wykorzystywanym oprogramowaniu
Autorzy raportu zwracają szczególną uwagę na niezałatane luki w oprogramowaniu, takie jak ProxyShell i ProxyLogon w serwerach poczty elektronicznej Microsoft Exchange. Cyberprzestępcy wykorzystali je w blisko połowie badanych w 2021 r. przypadków. Dla porównania, tylko co dwudziesty atak nastąpił w wyniku złamanych bądź nielegalnie pozyskanych danych uwierzytelniających.
Najczęściej wykorzystywane narzędzia (systemowe oraz zewnętrzne oprogramowanie) w atakach sieciowych.W swoim badaniu eksperci Sophos wyróżnili grupy IAB (Initial Access Brokers), zajmujące się pozyskiwaniem danych dostępowych do systemów firm, a następnie odsprzedawaniem ich innym przestępcom, np. udostępniającym ataki ransomware jako usługę (Ransomware as a Service, RaaS). Wraz ze wzrostem aktywności takich grup rośnie także poziom trudności wykrywania ataków. IAB bezwzględnie wykorzystują słabe punkty zabezpieczeń, szczególnie nowo wykryte luki w popularnych aplikacjach.
