Udając normalną aktywność: cyberprzestępcy wykorzystują legalne narzędzia w 30% udanych cyberincydentów

Udostępnij

W niemal jednej trzeciej (30%) cyberataków zbadanych w 2019 r. przez globalny zespół firmy Kaspersky ds. reagowania na cyberincydenty wykorzystywano legalne narzędzia zdalnego zarządzania i administracji. Dzięki nim sprawcy mogą pozostać niezauważeni przez dłuższy czas – średnia długość nieprzerwanych ataków cyberszpiegowskich oraz incydentów kradzieży poufnych danych to aż 122 dni. Dane te pochodzą z nowego raportu z analizy reagowania na incydenty firmy Kaspersky.

Oprogramowanie do monitorowania i zarządzania pomaga administratorom IT wykonywać codzienne zadania obejmujące rozwiązywanie problemów oraz pomoc techniczną. Jednak takie legalne narzędzia mogą zostać również wykorzystane przez cyberprzestępców podczas przeprowadzania ataków na infrastrukturę firmy. Tego rodzaju oprogramowanie pozwala im uruchamiać procesy na punktach końcowych, uzyskiwać dostęp i wydobywać wrażliwe informacje, jak również obchodzić różne systemy bezpieczeństwa umożliwiające wykrycie szkodliwego oprogramowania.

Z analizy zanonimizowanych danych dotyczących przypadków reagowania na incydenty wynika, że cyberprzestępcy wykorzystywali do swoich szkodliwych celów łącznie 18 różnych legalnych narzędzi. Najpopularniejszym okazał się PowerShell (25% przypadków). To rozbudowane narzędzie administracyjne może zostać wykorzystywane do wielu celów – od gromadzenia informacji po uruchamianie szkodliwego oprogramowania. Z kolei PsExec został wykorzystany w 22% ataków. Jest to aplikacja konsoli służąca do uruchamiania procesów na zdalnych punktach końcowych. Na trzecim miejscu uplasowało się narzędzie SoftPerfect Network Scanner (14%) służące do uzyskiwania informacji na temat środowisk sieciowych.

Ataki przeprowadzone przy użyciu legalnych narzędzi są trudniejsze do wykrycia przez rozwiązania zabezpieczające, ponieważ wykonywane przez nie działania mogą stanowić zarówno element zaplanowanej aktywności cyberprzestępczej, jak i typowych działań przeprowadzanych przez administratorów. W przypadku ataków trwających ponad miesiąc średnia długość cyberincydentów wynosiła aż 122 dni. Unikając wykrycia przez tak długi czas, cyberprzestępcy mogli zgromadzić wiele wrażliwych danych ofiar.

Eksperci z firmy Kaspersky zauważają jednak, że niekiedy szkodliwe działania wykonywane przy użyciu legalnego oprogramowania ujawniają się dość szybko. Dzieje się tak na przykład w przypadku ataku narzędzi szyfrujących ransomware, gdzie szkody są wyraźnie widoczne niemal od razu. Średnia długość takich krótkotrwałych ataków wynosiła jeden dzień.

Aby uniknąć wykrycia i możliwie najdłużej pozostać niewidocznym w zainfekowanej sieci, atakujący powszechnie stosują oprogramowanie przeznaczone dla normalnej aktywności użytkowników, zadań administratorów oraz diagnostyki systemu. Dzięki takim narzędziom mogą gromadzić informacje o sieciach korporacyjnych, a następnie przeprowadzać dalsze działania związane z infekowaniem, zmieniać ustawienia oprogramowania i sprzętu itp. Mogą na przykład wykorzystywać legalne oprogramowanie do szyfrowania danych klienta. Legalne narzędzia mogą również pomóc przestępcom pozostać poza radarem analityków bezpieczeństwa, którzy często wykrywają atak, gdy szkoda została już wyrządzona. Zrezygnowanie z tych narzędzi nie jest możliwe z wielu powodów, jednak właściwie wdrożone systemy rejestrowania oraz monitorowania umożliwią wczesne wykrycie podejrzanej aktywności w sieci oraz złożonych ataków ­– powiedział Konstantin Sapronow, szef globalnego zespołu ds. reagowania na incydenty w firmie Kaspersky.

W celu szybkiego wykrywania i reagowania na omawiane incydenty organizacje powinny rozważyć, między innymi, wdrożenie rozwiązania Endpoint Detection and Response z usługą MDR. MITRE ATT&CK® Round 2 Evaluation — ocena, której poddano różne rozwiązania, w tym Kaspersky EDR oraz usługę Kaspersky Managed Protection — może pomóc klientom wybrać produkty EDR odpowiadające konkretnym potrzebom ich organizacji. Wyniki ATT&CK Evaluation potwierdzają, że należy stosować wszechstronne rozwiązanie, które łączy w pełni zautomatyzowany wielowarstwowy produkt bezpieczeństwa z usługą ręcznego wyszukiwania zagrożeń.

Zobacz

ZUS może dofinansować poprawę bezpieczeństwa pracy – warto już teraz przygotować się do programu

Koszty świadczeń wynikających z wypadków przy pracy tylko w 2021 r. wyniosły...

Polenergia i Modus Energy planują współpracę przy budowie i rozwoju morskiej farmy wiatrowej na Litwie

Polenergia i Modus Energy wnioskują do UOKiK o utworzenie wspólnego przedsiębiorcy, którego działalność będzie obejmowała budowę, rozwój i obsługę morskiej farmy wiatrowej na litewskim obszarze morskim - podał Urząd na stronie internetowej.

Transformacja cyfrowa: kluczowe znaczenie zasobów i cyfrowych kompetencji pracowników

Potencjał do cyfrowej transformacji przedsiębiorstw wynika z dostępnych w...

Premier: przedłużyłem decyzję dot. zakupów węgla przez spółki energetyczne do końca sezonu grzewczego

Jesteśmy na dobrej drodze, aby było wystarczająco dużo węgla. Przedłużyłem swoją decyzję dotyczącą zakupów węgla przez spółki energetyczne z końca października do końca sezonu grzewczego – powiedział w środę na konferencji premier Mateusz Morawiecki.

Hiszpania: Od północy wchodzą w życie przepisy o oszczędzaniu energii

We wtorek o północy na terenie Hiszpanii wchodzą w życie przepisy dotyczące oszczędzania energii w obiektach użyteczności publicznej. Za lekceważenie nowego prawa, wprowadzonego w związku z wojną na Ukrainie, przewidziano surowe sankcje.

Aby otrzymać dodatek węglowy, trzeba złożyć wniosek do 30 listopada

Aby otrzymać dodatek węglowy w wysokości 3000 zł, trzeba będzie złożyć wniosek do gminy do 30 listopada. Gmina będzie miała z kolei 30 dni na jego wypłatę. Dodatek będą mogli otrzymać opalający swoje domy węglem kamiennym bądź jego pochodnymi.
- Reklama -

REKLAMA