Οι παραβιάσεις που αφορούν το ηλεκτρονικό ψάρεμα (phishing) και τον συμβιβασμό διαπιστευτηρίων έχουν λάβει μεγάλη προσοχή τα τελευταία χρόνια λόγω του πόσο συχνά οι φορείς απειλών έχουν χρησιμοποιήσει τις τακτικές για την εκτέλεση τόσο στοχευμένων όσο και ευκαιριακών επιθέσεων. Αλλά αυτό δεν σημαίνει ότι οι επιχειρηματικοί οργανισμοί έχουν την πολυτέλεια να μειώσουν την εστίασή τους στην επιδιόρθωση ευπάθειας λίγο.
Μια αναφορά από την Kaspersky αυτή την εβδομάδα εντόπισε περισσότερες αρχικές εισβολές πέρυσι που προέκυψαν από εκμετάλλευση ευπαθειών σε εφαρμογές που αντιμετωπίζουν το Διαδίκτυο παρά παραβιάσεις που αφορούν κακόβουλα email και παραβιασμένους λογαριασμούς σε συνδυασμό. Και τα δεδομένα που έχει συλλέξει η εταιρεία μέχρι το δεύτερο τρίμηνο του 2022 υποδηλώνουν ότι η ίδια τάση μπορεί να σημειωθεί και φέτος.
Η ανάλυση της Kaspersky για το 2021 Τα δεδομένα απόκρισης περιστατικών έδειξαν ότι οι παραβιάσεις που αφορούν εκμεταλλεύσεις ευπάθειας αυξήθηκαν από 31.5% όλων των περιστατικών το 2020 σε 53.6% το 2021. Την ίδια περίοδο, οι επιθέσεις που σχετίζονται με τη χρήση παραβιασμένων λογαριασμών για την απόκτηση αρχικής πρόσβασης μειώθηκαν από 31.6% το 2020 σε % πέρυσι. Οι αρχικές εισβολές που προέκυψαν από μηνύματα ηλεκτρονικού ψαρέματος μειώθηκαν από 17.9% σε 23.7% κατά την ίδια περίοδο.
Τα σφάλματα του Exchange Server τροφοδοτούν τη φρενίτιδα του Exploit
Η Kaspersky απέδωσε την αύξηση της δραστηριότητας εκμετάλλευσης πέρυσι ως πιθανώς συνδεδεμένη με τα πολλαπλά κρίσιμα τρωτά σημεία του Exchange Server που αποκάλυψε η Microsoft, συμπεριλαμβανομένου ενός συνόλου τεσσάρων μηδενικών ημερών τον Μάρτιο του 2021, γνωστό ως Ελαττώματα ProxyLogon (CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, CVE-2021-27065). Όταν συνδέονταν μεταξύ τους, επέτρεπαν στους εισβολείς να αποκτήσουν τον πλήρη απομακρυσμένο έλεγχο των διακομιστών ανταλλαγής εσωτερικού χώρου.
Οι επιτιθέμενοι — που περιελάμβαναν οργανωμένες εγκληματικές συμμορίες και κρατικές ομάδες από την Κίνα — εκμεταλλεύτηκαν γρήγορα δεκάδες χιλιάδες ευάλωτα συστήματα Exchange Server και έριξαν κελύφη Ιστού πάνω τους προτού η Microsoft μπορέσει να εκδώσει μια ενημέρωση κώδικα για τα ελαττώματα. Τα τρωτά σημεία προκάλεσαν σημαντική ανησυχία λόγω της πανταχού παρουσίας και της σοβαρότητάς τους. Προέτρεψαν μάλιστα το Υπουργείο Δικαιοσύνης των ΗΠΑ να εξουσιοδοτήσει το FBI να κάνει το πρωτοφανές βήμα προληπτική κατάργηση κελύφους Web ProxyLogon από διακομιστές που ανήκουν σε εκατοντάδες οργανισμούς — στις περισσότερες περιπτώσεις, χωρίς καμία ειδοποίηση.
Επίσης, ώθηση της δραστηριότητας εκμετάλλευσης το 2021 ήταν μια άλλη τριάδα τρωτών σημείων του Exchange Server με συλλογική επισήμανση ProxyShell (CVE-2021-31207, CVE-2021-34473, CVE-2021-34523).
Περισσότερο από ένα χρόνο αργότερα, οι ευπάθειες ProxyLogon και ProxyShell εξακολουθούν να αποτελούν στόχους έντονης δραστηριότητας εκμετάλλευσης, λέει ο Konstantin Sapronov, επικεφαλής της Παγκόσμιας Ομάδας Αντιμετώπισης Έκτακτης Ανάγκης της Kaspersky. Ένα από τα πιο σοβαρά από αυτά τα ελαττώματα (CVE-2021-26855) ήταν επίσης η πιο στοχευμένη. Η Kaspersky παρατήρησε την ευπάθεια - μέρος του συνόλου ProxyLogon - να εκμεταλλεύεται το 22.7% όλων των περιστατικών που αφορούσαν εκμεταλλεύσεις ευπάθειας στα οποία απάντησε το 2021 και το ελάττωμα συνεχίζει να είναι το αγαπημένο μεταξύ των επιτιθέμενων και φέτος, σύμφωνα με τον Sapronov.
Η ίδια τάση εκμετάλλευσης πιθανότατα θα εμφανιστεί το 2022
Παρόλο που έχουν εμφανιστεί αρκετές σοβαρές ευπάθειες φέτος — συμπεριλαμβανομένου του πανταχού παρούσα ευπάθεια Apache Log4j (CVE-2021-44228) — τα τρωτά σημεία του 2021 που έχουν γίνει αντικείμενο εκμετάλλευσης παραμένουν πολύ διαδεδομένα και το 2022, λέει ο Sapronov, ακόμη και πέρα από τα σφάλματα διακομιστή Exchange. Για παράδειγμα, η Kaspersky εντόπισε ένα ελάττωμα στη μηχανή του προγράμματος περιήγησης MSHTML της Microsoft (CVE-2021-40444, επιδιορθώθηκε τον περασμένο Σεπτέμβριο) ως το πιο βαριά επίθεση ευπάθειας το δεύτερο τρίμηνο του 2022.
«Τα τρωτά σημεία σε δημοφιλές λογισμικό όπως ο MS Exchange Server και η βιβλιοθήκη Log4j έχουν οδηγήσει σε τεράστιο αριθμό επιθέσεων», σημειώνει ο Sapronov. «Η συμβουλή μας προς τους εταιρικούς πελάτες είναι να δίνουν μεγάλη προσοχή σε θέματα διαχείρισης ενημερώσεων κώδικα».
Ώρα να δοθεί προτεραιότητα στην επιδιόρθωση
Άλλοι έχουν σημειώσει παρόμοια αύξηση στη δραστηριότητα εκμετάλλευσης ευπάθειας. Τον Απρίλιο, ερευνητές από την ερευνητική ομάδα απειλών Unit 42 της Palo Alto Networks παρατήρησαν πώς το 31% ή σχεδόν ένα στα τρία περιστατικά, είχαν αναλύσει μέχρι εκείνο το σημείο το 2022 ότι αφορούσε εκμεταλλεύσεις ευπάθειας. Σε περισσότερα από τα μισά (55%) από αυτά, οι φορείς απειλών είχαν στοχεύσει την ProxyShell.
Οι ερευνητές του Palo Alto βρήκαν επίσης παράγοντες απειλών που συνήθως σαρώνουν για συστήματα με ένα ελάττωμα που μόλις αποκαλύφθηκε κυριολεκτικά λίγα λεπτά μετά την ανακοίνωση του CVE. Σε μια περίπτωση, παρατήρησαν ένα ελάττωμα παράκαμψης ελέγχου ταυτότητας σε μια συσκευή δικτύου F5 (CVE-2022-1388) που στοχεύτηκε 2,552 φορές τις πρώτες 10 ώρες μετά την αποκάλυψη ευπάθειας.
Η δραστηριότητα μετά την εκμετάλλευση είναι δύσκολο να εντοπιστεί
Η ανάλυση της Kaspersky για τα δεδομένα της απόκρισης συμβάντων έδειξε ότι σχεδόν στο 63% των περιπτώσεων, οι εισβολείς κατάφεραν να μείνουν απαρατήρητοι σε ένα δίκτυο για περισσότερο από ένα μήνα μετά την αρχική είσοδο. Σε πολλές περιπτώσεις, αυτό συνέβη επειδή οι εισβολείς χρησιμοποίησαν νόμιμα εργαλεία και πλαίσια όπως το PowerShell, το Mimikatz και το PsExec για τη συλλογή δεδομένων, την κλιμάκωση των προνομίων και την εκτέλεση εντολών.
Όταν κάποιος παρατήρησε γρήγορα μια παραβίαση, ήταν συνήθως επειδή οι εισβολείς είχαν δημιουργήσει προφανή ζημιά, όπως κατά τη διάρκεια μιας επίθεσης ransomware. «Είναι εύκολο να εντοπίσετε μια επίθεση ransomware όταν τα δεδομένα σας είναι κρυπτογραφημένα, καθώς οι υπηρεσίες δεν είναι διαθέσιμες και έχετε ένα σημείωμα λύτρων στην οθόνη σας», λέει ο Sapronov.
Αλλά όταν ο στόχος είναι τα δεδομένα μιας εταιρείας, οι εισβολείς χρειάζονται περισσότερο χρόνο για να περιπλανηθούν στο δίκτυο του θύματος για να συλλέξουν τις απαραίτητες πληροφορίες. Σε τέτοιες περιπτώσεις, οι επιτιθέμενοι ενεργούν πιο κρυφά και προσεκτικά, γεγονός που καθιστά δυσκολότερο τον εντοπισμό αυτού του είδους των επιθέσεων. «Για τον εντοπισμό τέτοιων περιπτώσεων, προτείνουμε να χρησιμοποιήσετε μια στοίβα εργαλείων ασφαλείας με τηλεμετρία εκτεταμένης ανίχνευσης και απόκρισης (EDR) και να εφαρμόσετε κανόνες για τον εντοπισμό διάχυτων εργαλείων που χρησιμοποιούνται από τους αντιπάλους», λέει.
Ο Mike Parkin, ανώτερος τεχνικός μηχανικός στη Vulcan Cyber, λέει ότι η πραγματική λύση για τους επιχειρηματικούς οργανισμούς είναι ότι οι εισβολείς θα εκμεταλλευτούν κάθε ευκαιρία για να παραβιάσουν ένα δίκτυο.
«Με μια σειρά από εκμεταλλεύσιμα τρωτά σημεία, δεν αποτελεί έκπληξη να δούμε μια άνοδο», λέει. Είναι δύσκολο να ειπωθεί εάν οι αριθμοί είναι υψηλότεροι για ευπάθειες σε επιθέσεις διαπιστευτηρίων που έχουν σχεδιαστεί κοινωνικά, σημειώνει.
«Αλλά η ουσία είναι ότι οι παράγοντες της απειλής θα χρησιμοποιήσουν τα κατορθώματα που λειτουργούν. Εάν υπάρξει μια νέα απομακρυσμένη εκμετάλλευση κώδικα σε κάποια υπηρεσία των Windows, θα συρρέουν σε αυτήν και θα παραβιάσουν όσα περισσότερα συστήματα μπορούν προτού βγουν οι ενημερώσεις κώδικα ή οι κανόνες του τείχους προστασίας αναπτυχθούν», λέει.
Η πραγματική πρόκληση είναι οι ευπάθειες της μακριάς ουράς: Αυτά που είναι παλαιότερα, όπως το ProxyLogon, με ευάλωτα συστήματα που έχουν χαθεί ή έχουν αγνοηθεί, λέει ο Parkin, προσθέτοντας ότι η επιδιόρθωση πρέπει να είναι προτεραιότητα.
- blockchain
- πορτοφόλια κρυπτογράφησης
- κρυπτο -ανταλλαγή
- κυβερνασφάλεια
- εγκληματίες του κυβερνοχώρου
- Κυβερνασφάλεια
- Σκοτεινή ανάγνωση
- Υπουργείο Εσωτερικής Ασφάλειας
- ψηφιακά πορτοφόλια
- firewall
- Kaspersky
- malware
- Mcafee
- Nexbloc
- Πλάτων
- πλάτων αι
- Πληροφορία δεδομένων Plato
- Παιχνίδι Πλάτωνας
- Πλάτωνα δεδομένα
- platogaming
- VPN
- ιστοσελίδα της ασφάλειας
