По данным нескольких компаний, занимающихся анализом угроз, в прошлом году злоумышленники стали действовать более эффективно, быстро осваивая горизонтальные возможности и похищая данные быстрее, чем когда-либо прежде.
Сокращение сроков — явный признак того, что киберпреступники постоянно совершенствуют свои навыки. Злоупотребляя легитимными системными инструментами, чтобы избежать обнаружения, уделяя особое внимание получению авторизованных административных учётных данных и применяя автоматизированные процессы, специалисты по защите часто не замечают вредоносную активность, пока не становится слишком поздно.
Адам Майерс, старший вице-президент по операциям по противодействию злоумышленникам в CrowdStrike, сообщил, что в прошлом году среднее время выхода из системы с точки зрения горизонтального перемещения составило 48 минут. Примечательно, что максимальное время выхода из системы составило всего 51 секунду, как он отметил на недавнем пресс-брифинге. Для сравнения, среднее время выхода из системы при интерактивных кибератаках в 2023 году, по данным CrowdStrike, составило 62 минуты.
«Эти злоумышленники не только используют разные методы и возможности, они еще и делают это быстрее, и их действия происходят быстрее, чем у многих предприятий, на которые они нацелены», — сказал Мейерс.
Исследование CrowdStrike о времени выхода из системы защиты не уникально. В прошлом году ReliaQuest также наблюдала, как злоумышленники двигались с беспрецедентной скоростью, достигая бокового перемещения после получения первоначального доступа в среднем за 48 минут.
Скорость прорыва, наблюдаемая CrowdStrike и ReliaQuest, подчёркивает более масштабные усилия киберпреступников по быстрому поражёнию целей, достижению своих целей и, в конечном итоге, использованию незаконно полученной прибыли для вымогательства. Некоторые киберпреступные группировки по-прежнему склонны действовать медленнее, но в среднем атаки программ-вымогателей превратились в гонку со временем — как для преступников, так и для защитников.
По данным аналитической компании Unit 42 компании Palo Alto Networks, извлекающей данные, — одна из основных и наиболее важных целей киберпреступников — в прошлом году происходила с рекордной скоростью.
«Несколько лет назад среднее время от момента проникновения до эвакуации составляло около девяти-десяти дней. В 2024 году среднее время составляло около двух дней», — сказал Сэм Рубин, старший вице-президент по консалтингу и анализу угроз в подразделении 42.
Хотя медианное измерение темпа атаки от доступа до эвакуации вызывает тревогу, резкие выбросы данных вызывают еще большую тревогу.
В четверти случаев, на которые Подразделение 42 отреагировало в прошлом году, время от взлома до кражи данных составляло менее пяти часов, что в три раза быстрее показателей, зафиксированных компанией в 2021 году. По данным Подразделения 42, в каждом пятом случае злоумышленники изымали данные из сред жертв менее чем за час.
Группа вирусов-вымогателей RansomHub, которую Unit 42 отслеживает как Spoiled Scorpius, в прошлом году получила доступ к сети муниципального правительства через VPN без многофакторной аутентификации и за семь часов похитила 500 ГБ данных.
Рубин отметил, что скорость, с которой действуют группы вирусов-вымогателей, сравнима со скоростью ограбления банка.
«Возможно, кто-то включил беззвучную сигнализацию, и вот-вот приедет полиция. Они знают, что им нужно быстро что-то взять», — сказал он.
Киберпреступники быстро повышают свои привилегии и используют механизмы сохранения доступа в течение длительного времени, что позволяет им выполнять дальнейшие действия после первоначального взлома системы.
По данным Unit 42, группа Muddled Libra, более известная как Scattered Spider, которая также связана с « Com », в прошлом году использовала социальную инженерию в службе поддержки поставщика услуг, чтобы получить доступ к учетной записи менеджера привилегированного доступа контрактного ИТ-сотрудника. Получив доступ, группа угроз извлекла сохраненные учетные данные и в течение 40 минут скомпрометировала учетную запись с привилегированным доступом к домену.
В данном конкретном случае Scattered Spider взломал хранилище паролей и создал дополнительный сервер для собственной многофакторной аутентификации. Это открыло им ещё один способ сохранить доступ и украсть дополнительные данные.
«Затем они работают в облаке, используя инструменты телеметрии безопасности. Они отключили часть журналирования в SIEM (системе управления информацией и событиями безопасности)», — сказал Рубин.
Технический уровень знаний группировок, занимающихся разработкой программ-вымогателей, различается, но Scattered Spider продемонстрировал «одновременное наличие ИТ-специалистов, специалистов по DevOps, специалистов по безопасности и своего рода бизнес-знаний, что, честно говоря, демонстрирует их уровень профессионализма», — сказал Рубин.
ReliaQuest пришла к тем же выводам, что и другие компании, занимающиеся разведкой угроз, установив, что самое быстрое время извлечения данных в прошлом году составило 4 часа и 29 минут.
«Время, необходимое злоумышленнику для перехода от первоначального доступа к извлечению данных, на 34% меньше времени, необходимого для шифрования», — заявила компания ReliaQuest в своём ежегодном отчёте об угрозах . «Наши данные свидетельствуют о существенном изменении тактики программ-вымогателей: из всех нарушений, которые мы наблюдали в 2024 году, 80% были связаны с извлечением данных, и только 20% — с шифрованием».
Сокращение сроков — явный признак того, что киберпреступники постоянно совершенствуют свои навыки. Злоупотребляя легитимными системными инструментами, чтобы избежать обнаружения, уделяя особое внимание получению авторизованных административных учётных данных и применяя автоматизированные процессы, специалисты по защите часто не замечают вредоносную активность, пока не становится слишком поздно.
Адам Майерс, старший вице-президент по операциям по противодействию злоумышленникам в CrowdStrike, сообщил, что в прошлом году среднее время выхода из системы с точки зрения горизонтального перемещения составило 48 минут. Примечательно, что максимальное время выхода из системы составило всего 51 секунду, как он отметил на недавнем пресс-брифинге. Для сравнения, среднее время выхода из системы при интерактивных кибератаках в 2023 году, по данным CrowdStrike, составило 62 минуты.
«Эти злоумышленники не только используют разные методы и возможности, они еще и делают это быстрее, и их действия происходят быстрее, чем у многих предприятий, на которые они нацелены», — сказал Мейерс.
Исследование CrowdStrike о времени выхода из системы защиты не уникально. В прошлом году ReliaQuest также наблюдала, как злоумышленники двигались с беспрецедентной скоростью, достигая бокового перемещения после получения первоначального доступа в среднем за 48 минут.
Скорость прорыва, наблюдаемая CrowdStrike и ReliaQuest, подчёркивает более масштабные усилия киберпреступников по быстрому поражёнию целей, достижению своих целей и, в конечном итоге, использованию незаконно полученной прибыли для вымогательства. Некоторые киберпреступные группировки по-прежнему склонны действовать медленнее, но в среднем атаки программ-вымогателей превратились в гонку со временем — как для преступников, так и для защитников.
По данным аналитической компании Unit 42 компании Palo Alto Networks, извлекающей данные, — одна из основных и наиболее важных целей киберпреступников — в прошлом году происходила с рекордной скоростью.
«Несколько лет назад среднее время от момента проникновения до эвакуации составляло около девяти-десяти дней. В 2024 году среднее время составляло около двух дней», — сказал Сэм Рубин, старший вице-президент по консалтингу и анализу угроз в подразделении 42.
Хотя медианное измерение темпа атаки от доступа до эвакуации вызывает тревогу, резкие выбросы данных вызывают еще большую тревогу.
В четверти случаев, на которые Подразделение 42 отреагировало в прошлом году, время от взлома до кражи данных составляло менее пяти часов, что в три раза быстрее показателей, зафиксированных компанией в 2021 году. По данным Подразделения 42, в каждом пятом случае злоумышленники изымали данные из сред жертв менее чем за час.
Группа вирусов-вымогателей RansomHub, которую Unit 42 отслеживает как Spoiled Scorpius, в прошлом году получила доступ к сети муниципального правительства через VPN без многофакторной аутентификации и за семь часов похитила 500 ГБ данных.
Рубин отметил, что скорость, с которой действуют группы вирусов-вымогателей, сравнима со скоростью ограбления банка.
«Возможно, кто-то включил беззвучную сигнализацию, и вот-вот приедет полиция. Они знают, что им нужно быстро что-то взять», — сказал он.
Киберпреступники быстро повышают свои привилегии и используют механизмы сохранения доступа в течение длительного времени, что позволяет им выполнять дальнейшие действия после первоначального взлома системы.
По данным Unit 42, группа Muddled Libra, более известная как Scattered Spider, которая также связана с « Com », в прошлом году использовала социальную инженерию в службе поддержки поставщика услуг, чтобы получить доступ к учетной записи менеджера привилегированного доступа контрактного ИТ-сотрудника. Получив доступ, группа угроз извлекла сохраненные учетные данные и в течение 40 минут скомпрометировала учетную запись с привилегированным доступом к домену.
В данном конкретном случае Scattered Spider взломал хранилище паролей и создал дополнительный сервер для собственной многофакторной аутентификации. Это открыло им ещё один способ сохранить доступ и украсть дополнительные данные.
«Затем они работают в облаке, используя инструменты телеметрии безопасности. Они отключили часть журналирования в SIEM (системе управления информацией и событиями безопасности)», — сказал Рубин.
Технический уровень знаний группировок, занимающихся разработкой программ-вымогателей, различается, но Scattered Spider продемонстрировал «одновременное наличие ИТ-специалистов, специалистов по DevOps, специалистов по безопасности и своего рода бизнес-знаний, что, честно говоря, демонстрирует их уровень профессионализма», — сказал Рубин.
ReliaQuest пришла к тем же выводам, что и другие компании, занимающиеся разведкой угроз, установив, что самое быстрое время извлечения данных в прошлом году составило 4 часа и 29 минут.
«Время, необходимое злоумышленнику для перехода от первоначального доступа к извлечению данных, на 34% меньше времени, необходимого для шифрования», — заявила компания ReliaQuest в своём ежегодном отчёте об угрозах . «Наши данные свидетельствуют о существенном изменении тактики программ-вымогателей: из всех нарушений, которые мы наблюдали в 2024 году, 80% были связаны с извлечением данных, и только 20% — с шифрованием».
