Sophos: V 90 % útoků v roce 2023 kyberzločinci zneužili protokol RDP

10. April 2024 00:00 0 komentářů

Sophos zveřejnil analýzu aktivních útočníků „It’s Oh So Quiet (?): The Sophos Active Adversary Report for 1H 2024“. Studie analyzující více než 150 případů reakce na incidenty řešených týmem Sophos X-Ops Incident Response v roce 2023 zjistila, že kyberzločinci zneužívají protokol vzdálené plochy (Remote Desktop Protocol – RDP), běžnou metodu pro navázání vzdáleného přístupu k systémům Windows, hned v 90 % útoků. To byl zdaleka nejvyšší výskyt zneužití RDP od roku 2021, kdy Sophos začal vydávat studie o aktivních útočnících, které zahrnují data od roku 2020.

Kromě toho byly služby pro vzdálený přístup, jako je RDP, nejčastějším vektorem počátečního proniknutí útočníků do sítí. Ještě v roce 2023 šlo o způsob počátečního přístupu u 65 % řešených incidentů. Služby pro vzdálený přístup jsou za dobu vydávání studií o aktivních útočnících od roku 2020 trvale nejčastějším způsobem počátečního průniku kyberzločinců. Obránci by to měli považovat za jasné znamení, že je třeba při hodnocení rizik pro jejich podnik upřednostnit právě řízení těchto služeb.

„Služby pro vzdálený přístup jsou pro mnoho podniků nezbytným, ale riskantním prvkem. Útočníci si uvědomují rizika představovaná těmito službami a aktivně se je snaží narušit kvůli zisku, který se za nimi skrývá. Zavedení těchto služeb bez pečlivého zvážení a přijetí opatření na zmírnění souvisejících rizik nevyhnutelně vede ke kompromitaci. Útočníkovi netrvá dlouho najít a napadnout nechráněný server RDP a bez dalších kontrolních mechanismů snadno najde i server Active Directory, který čeká na druhé straně,“ řekl John Shier, technický ředitel společnosti Sophos.

Jednoho zákazníka, který využívá služby multidisciplinárního expertního týmu Sophos X-Ops, útočníci úspěšně napadli hned čtyřikrát během šesti měsíců, přičemž pokaždé získali počáteční přístup právě přes odkryté porty RDP. Jakmile útočníci pronikli do prostředí zákazníka, pokračovali v úhybných manévrech v jeho síti, stahovali škodlivé binární soubory, deaktivovali ochranu koncových bodů a získali vzdálený přístup.

Dvěma nejčastějšími příčinami útoků jsou stále kompromitace uživatelských účtů a zneužití zranitelností. Studie o aktivních protivnících pro manažery IT za rok 2023 vydaná loni v srpnu ale zjistila, že v první polovině tohoto roku zneužití kompromitovaných účtů jako nejčastější příčina útoků poprvé předstihlo i neošetřené zranitelnosti. Tento trend pokračoval i po zbytek roku 2023, kdy kompromitované účty představovaly hlavní příčinu ve více než 50 % případů reakcí na incidenty za celý rok. Při kumulativním pohledu na údaje o aktivních útočnících v letech 2020 až 2023 byly kompromitované přihlašovací údaje také celkově první příčinou útoků, a to v téměř třetině všech případů reakcí na incidenty. Navzdory historicky potvrzenému výskytu kompromitovaných účtů při kybernetických útocích ale organizace v roce 2023 neměly ve 43 % případů reakcí na incidenty zavedeno vícefaktorové ověřování.

Zneužití zranitelností na druhém místě

Druhou nejčastější příčinou útoků bylo zneužití zranitelností – a to jak v roce 2023, tak při kumulativní analýze dat z let 2020 až 2023, kdy bylo hlavní příčinou v 16 %, resp. 30 % případů reakcí na incidenty.

„Řízení rizik je aktivní proces. Tváří v tvář neustálým hrozbám ze strany odhodlaných útočníků, jsou organizace, které to dělají dobře, v lepší bezpečnostní situaci než ty, které rizika neřídí. Důležitým aspektem řízení bezpečnostních rizik je kromě jejich identifikace a stanovení priorit také jednání na základě těchto informací. Některá rizika, jako je například otevřený protokol RDP, ale k radosti útočníků v organizacích přetrvávají velmi dlouho a stávají se tak vstupními dveřmi. Zabezpečení sítě omezením exponovaných a zranitelných služeb a zpřísněním ověřování zajistí, že budou organizace celkově bezpečnější a budou lépe čelit kybernetickým útokům,“ řekl John Shier.

Studie Sophos Active Adversary Report for 1H 2024 vychází z více než 150 vyšetřovaných reakcí na incidenty po celém světě ve 26 odvětvích. Napadené organizace se nacházejí ve 23 různých zemích, včetně Spojených států, Kanady, Mexika, Kolumbie, Velké Británie, Švédska, Švýcarska, Španělska, Německa, Polska, Itálie, Rakouska, Belgie, Filipín, Singapuru, Malajsie, Indie, Austrálie, Kuvajtu, Spojených arabských emirátů, Saúdské Arábie, Jihoafrické republiky a Botswany.


Komentáře