Gdy hakerzy chcą uzyskać dostęp do sieci docelowej, najprawdopodobniej przeprowadzają atak phishingowy, wykorzystują znane luki w oprogramowaniu lub po prostu włamują się do sieci poprzez protokół zdalnego pulpitu (RDP).
Jest to zgodne z nowym raportem działu cyberbezpieczeństwa Palo Alto Networks, Unit 42. W swoim najnowszym artykule firma twierdzi, że te trzy stanowią ponad trzy czwarte (77%) wszystkich podejrzewanych głównych przyczyn włamań.
Analizując głębiej, Unit 42 odkrył, że ponad połowa (55%) wszystkich udanych luk w zabezpieczeniach oprogramowania wykorzystuje ProxyShell (55%), a następnie Log4j (14%), SonicWall (7%), ProxyLogon (5%) i Zoho ManageEngine ADSelfService Plus (4%).
Jednak firmy mogły zrobić o wiele więcej, aby zachować bezpieczeństwo. Spośród 600 przypadków reakcji na incydenty, które przeanalizowano w jednostce 42 na potrzeby raportu, w połowie przypadków firmy nie posiadały uwierzytelniania wieloskładnikowego w krytycznych systemach obsługujących Internet. Tymczasem ponad jedna czwarta (28%) miała słabe procedury zarządzania poprawkami, a 44% nie posiadało usługi ochrony punktów końcowych.
BEC i oprogramowanie ransomware
Po uzyskaniu dostępu cyberprzestępcy zaangażują się w atak na firmową pocztę e-mail (BEC) lub ataki ransomware. Według raportu średnia kwota skradziona za pośrednictwem BEC wyniosła 286,000 8 USD, podczas gdy w przypadku oprogramowania ransomware najwyższe średnie zapotrzebowanie było w finansach, wynoszące prawie XNUMX mln USD.
Jak stwierdzono w raporcie, nowa ofiara oprogramowania ransomware jest teraz publikowana na stronach z wyciekami co cztery godziny. Dlatego naukowcy twierdzą, że wczesne rozpoznanie aktywności oprogramowania ransomware ma kluczowe znaczenie.
Zazwyczaj atakujący spędzają w sieci docelowej do 28 dni, identyfikując punkty końcowe (otwiera się w nowej karcie) i kluczowe dane przed faktycznym wdrożeniem jakiegokolwiek oprogramowania ransomware.
„Obecnie cyberprzestępczość jest łatwym biznesem ze względu na niskie koszty i często wysokie zyski. W związku z tym niewykwalifikowani, początkujący cyberprzestępcy mogą zacząć od dostępu do narzędzi, takich jak hakowanie jako usługa, które stają się coraz bardziej popularne i dostępne w ciemnej sieci” – powiedział Wendi Whitmore, starszy wiceprezes i szef działu 42 w Palo Alto Networks.
„Atakujący ransomware stają się coraz bardziej zorganizowani dzięki swoim ankietom dotyczącym obsługi klienta i satysfakcji, ponieważ angażują się w cyberprzestępców i organizacje będące ofiarami”.