כאשר האקרים רוצים לגשת לרשת יעד, סביר להניח שהם יפתחו התקפת דיוג, ינצלו פרצות תוכנה ידועות או פשוט ילחצו בכוח את דרכם פנימה דרך פרוטוקול שולחן העבודה המרוחק (RDP).
כך עולה מדו"ח חדש של זרוע אבטחת הסייבר של פאלו אלטו נטוורקס, יחידה 42. במאמר האחרון שלה, החברה טוענת ששלושת אלה מהווים יותר משלושה רבעים (77%) מכל הסיבות הבסיסיות החשודות לפריצות.
בקידוח עמוק יותר, יחידה 42 מצאה שיותר ממחצית (55%) מכל ניצול פגיעות התוכנה המוצלח מינפו את ProxyShell (55%), ואחריה Log4j (14%), SonicWall (7%), ProxyLogon (5%) ו-Zoho ManageEngine ADSelfService בנוסף (4%).
עם זאת, עסקים יכלו לעשות הרבה יותר כדי להישאר בטוחים. מתוך 600 מקרי תגובה לאירועים שיחידה 42 נותחו לצורך הדוח, עסקים חסרו אימות רב-גורמי במערכות קריטיות הפונות לאינטרנט במחצית מהמקרים. בינתיים, ליותר מרבע (28%) היו נהלי ניהול תיקונים לקויים ול-44% לא היה שירות הגנה על נקודות קצה.
BEC ותוכנות כופר
ברגע שהם מקבלים גישה, שחקני איומים יעסקו בהתקפות דוא"ל עסקי (BEC) או בהתקפות של תוכנות כופר. הסכום הממוצע שנגנב דרך BEC היה 286,000 דולר, נכתב בדוח, בעוד שלתוכנת כופר, הביקוש הממוצע הגבוה ביותר היה בפיננסים, כמעט 8 מיליון דולר.
קורבן תוכנת כופר חדש מקבל את הנתונים שלו באתרי דליפות כל ארבע שעות כעת, כך עולה מהדוח. לכן, טוענים החוקרים, זיהוי מוקדם של פעילות תוכנת כופר הוא חיוני.
בדרך כלל, התוקפים מבלים עד 28 ימים ברשת היעד, בזיהוי נקודות קצה (נפתח בלשונית חדשה) ונתוני מפתח, לפני פריסת תוכנת כופר.
"כרגע, פשעי סייבר הוא עסק שקל להיכנס אליו בגלל העלות הנמוכה שלו ולעתים קרובות התשואות הגבוהות שלו. ככאלה, שחקני איומים לא מיומנים ומתחילים יכולים להתחיל עם גישה לכלים כמו פריצה כשירות הופכים פופולריים יותר וזמינים ברשת האפלה", אמרה וונדי ויטמור, סמנכ"לית וראש יחידה 42 בפאלו אלטו נטוורקס.
"תוקפי תוכנות כופר גם הופכים מאורגנים יותר עם סקרי שירות הלקוחות ושביעות הרצון שלהם כשהם מתקשרים עם פושעי סייבר וארגונים שנפגעו".