Ugrupowania zagrażające wykorzystują powszechnie używany system Windows protokół zdalnego pulpitu Jak wynika z nowej analizy opublikowanej przez Sophos, w ich łańcuchach ataków zastosowano funkcję zdalnego dostępu (RDP) z szybkością niespotykaną od czasu pandemii Covid-19 w swoim najnowszym raporcie o aktywnym przeciwnikuw ramach którego zbadano ponad 150 przypadków reakcji na incydenty, na które zareagował zespół X-Ops w 2023 r.
Stwierdziła, iż widziała wykorzystywanie PROW wystąpiły w 90% przypadków w zeszłym rokunajwyższy wskaźnik od czasu raportu z 2021 r. obejmującego dane z 2020 r., szczyt pandemii.
W jednym przypadku atakującym udało się złamać zabezpieczenia ofiary nie mniej niż cztery razy w ciągu sześciu miesięcy, w każdym przypadku uzyskując początkowy dostęp poprzez odsłonięte porty RDP – co było również najczęstszym wektorem, za pośrednictwem którego napastnicy włamywali się do sieci (stwierdzono w 65% przypadków) udokumentowane przypadki.
Po wejściu do sieci ofiary napastnicy przez cały czas przemieszczali się po jej sieci, pobierając szkodliwe pliki binarne, wyłączając narzędzia cyberbezpieczeństwa chroniące punkty końcowe i ustanawiając zdalną kontrolę.
„Zewnętrzne usługi zdalne są niezbędnym, ale ryzykownym wymogiem dla wielu firm. Atakujący rozumieją ryzyko, jakie stwarzają te usługi, i aktywnie starają się je udaremnić ze względu na nagrodę, która kryje się za nimi” – powiedział John Shier, dyrektor techniczny firmy Sophos.
„Ujawnianie usług bez dokładnego rozważenia i ograniczenia związanego z nimi ryzyka nieuchronnie prowadzi do kompromisu. Osoba atakująca nie potrzebuje dużo czasu, aby znaleźć i złamać ujawniony serwer RDP, a bez dodatkowych kontroli nie zajmuje to dużo czasu znalezienie serwera Active Directory, który czeka po drugiej stronie.
Shier stwierdziła, iż ważnym aspektem zarządzania ryzykiem – poza samą identyfikacją i ustalaniem priorytetów – jest działanie w oparciu o dostępne informacje, a mimo to zagrożenia takie jak ujawnione porty PROW w dalszym ciągu nękają ofiary „ku uciesze atakujących”, co sugeruje, iż zbyt wiele organizacji po prostu nie płaci uwaga.
„Zarządzanie ryzykiem jest procesem aktywnym. Organizacje, które dobrze sobie z tym radzą, doświadczają lepszych sytuacji w zakresie bezpieczeństwa niż te, które tego nie robią, w obliczu ciągłych zagrożeń ze strony zdeterminowanych napastników…. Zabezpieczenie sieci poprzez ograniczenie odsłoniętych i podatnych na ataki usług oraz wzmocnienie uwierzytelniania sprawi, iż organizacje będą ogólnie bezpieczniejsze i będą w stanie lepiej odpierać cyberataki” – powiedział Shier.
Najnowsza edycja trwającej serii Active Adversary ujawniła również, iż choć wykorzystywanie luk w zabezpieczeniach i wykorzystanie naruszonych danych uwierzytelniających to najczęstsze przyczyny cyberataków, to wykorzystanie skradzionych danych uwierzytelniających stało się bardziej powszechne i w tej chwili występuje u ponad 50% osób przypadków reakcji na incydenty – wykorzystanie luk stanowiło kolejne 30%.
Shier stwierdziła, iż jest to szczególnie niepokojące, biorąc pod uwagę, iż w 43% przypadków organizacje nie skonfigurowały prawidłowo uwierzytelniania wieloskładnikowego (MFA) lub nie skonfigurowały go wcale.
Inne rzadsze przyczyny zaobserwowane przez Sophos to ataki typu brute force (3,9% przypadków), phishing (3,3%) i naruszenia bezpieczeństwa łańcucha dostaw (2,6%). W 13,6% przypadków nie udało się ustalić przyczyny pierwotnej.
Cyber-profesjonaliści muszą zrobić więcej
Patrząc wstecz na dane za 2023 r., Shier napisał, iż biorąc pod uwagę, iż większość kompromisów wynika z zaledwie trzech kluczowych kwestii – odsłoniętych portów RDP, braku usługi MFA i niezałatanych serwerów – oraz względnej łatwości rozwiązania wszystkich trzech problemów, pozostał mu poczucie, iż nie zrobiono wystarczająco dużo, aby chronić organizacje przed krzywdą i iż chociaż niektóre z nich posiadały niezbędne zabezpieczenia, niewielu tak naprawdę zwracało uwagę na bezpieczeństwo.
„Często jedyne różnice między organizacjami, które doświadczyły naruszeń, a tymi, które nie doświadczyły naruszenia, to po pierwsze, przygotowanie związane z wyborem i wdrożeniem odpowiednich narzędzi, a po drugie, wiedza i gotowość do działania, gdy jest to wymagane” – napisał.
„Niestety, co roku wciąż widzimy te same błędy popełniane przez obrońców. Mając to na uwadze, uważamy, iż organizacje muszą pilnie zaangażować się w akcję ratunkową” – kontynuował Shier.
„Żadna branża, produkt ani paradygmat nie jest doskonały, ale wciąż toczymy wczorajsze bitwy, zbyt często dzień wcześniej, niż wczorajsza broń. Większość narzędzi i technik opisanych w tym raporcie oferuje rozwiązania lub przynajmniej środki łagodzące, które ograniczają ich szkody, ale mechanizmy obronne po prostu nie nadążają za nimi.
Podsumowując raport, Shier stwierdził, iż dla cyberprofesjonalistów może być kuszące uleganie złości z powodu zbyt częstych i możliwych do uniknięcia awarii. „Mówimy: nie patrz wstecz w gniewie, czekaj na to, jak możesz dokonać pozytywnych zmian już dziś, aby uzyskać lepsze jutro”.
