Raport Sophos – hakerzy celują w Active Directory

25

Jak wynika z raportu firmy Sophos, hakerzy potrzebują zaledwie 16 godzin, aby dotrzeć do najbardziej krytycznych zasobów przedsiębiorstwa. Celem atakujących jest najczęściej Active Directory, czyli usługa katalogowa systemu Windows, która pozwala na zarządzanie dostępami do danych. Za jej pomocą przeprowadzający atak mogą sami zwiększyć swoje uprawnienia w systemie ofiary i wywołać jeszcze większe szkody.

fot.Pixabay

Raport „The Sophos Active Adversary Report for Business” został opracowany na podstawie analiz sporządzonych przez zespół Sophos Incident Response. Dane zawarte w raporcie pochodzą ze śledztw przeprowadzonych od stycznia do lipca 2023 r. w firmach z 25 różnych branż w 33 krajach z całego świata, w tym w Polsce. 88% śledztw dotyczyło firm zatrudniających mniej niż 1000 pracowników.

Według analiz zespołu Sophos X-Ops najbardziej powszechnymi atakami na firmy były te z wykorzystaniem ransomware. Stanowiły one aż 69% wszystkich badanych przypadków. W czterech na pięć ataków cyberprzestępcy szyfrowali firmowe pliki poza godzinami pracy przedsiębiorstw. Blisko połowa (43%) działań hakerów była wykrywana w piątki lub soboty.

John Shier, dyrektor ds. technologii w firmie Sophos, tłumaczy, że dzięki technologiom takim jak XDR (rozszerzone wykrywanie i reagowanie na zagrożenia) i MDR (zarządzane wykrywanie zagrożeń i reagowanie na nie) znacząco skróciło się „okno operacyjne”, w czasie którego atakujący mogą dokonać szkód. W 2021 r. średni czas wykrycia hakerów w infrastrukturze IT wynosił 15 dni, w zeszłym roku 10, a w 2023 r. – zaledwie 8.

Więcej od autora
1 z 168

„Cyberprzestępcy, zwłaszcza ci którzy mają doświadczenie i zaplecze w postaci dostępu do oprogramowania ransomware, wciąż udoskonalają swoje strategie. Wraz ze wzrostem popularności technologii takich jak XDR i usług typu MDR, wzrosła nasza zdolność do szybszego wykrywania ataków, ale nie oznacza to, że wszyscy jesteśmy dzięki nim bezpieczniejsi. Atakujący wciąż dostają się do naszych sieci, a jeśli nie czują presji czasu, mają tendencję do pozostawania w nich. Dlatego tak ważne jest ciągłe i proaktywne monitorowanie sytuacji” – wyjaśnia John Shier.

Analitycy Sophos zwracają również uwagę na to, jak niewiele czasu potrzebują atakujący, by przejąć kontrolę nad infrastrukturą Active Directory (AD), która odpowiada za zarządzanie dostępami. Zazwyczaj wystarczy zaledwie 16 godzin, aby cyberprzestępcy zapewnili sobie szeroki dostęp do wszystkich firmowych systemów, aplikacji oraz plików.

„Kontrolując Active Directory, kontroluje się całą firmę” – przestrzega John Shier. „Przejęcie AD i nadanie sobie odpowiednich dostępów do zasobów zaatakowanej firmy pozwala hakerom pozostać niezauważonymi i w spokoju planować kolejne ruchy, takie jak łamanie kolejnych zabezpieczeń” – dodaje.

Atak, w czasie którego Active Directory trafi w ręce cyberprzestępców, jest jednym z najgorszych scenariuszy dla osób zajmujących się cyberbezpieczeństwem. Hakerzy niszczą w ten sposób fundament bezpieczeństwa całej firmy, co oznacza, że obrońcy swoje działania na rzecz przywrócenia pełnej funkcjonalności systemów muszą zaczynać od zera.

Źródło: computerworld
Komentarz