Exploatarea aplicațiilor care necesită acces la internet a fost cel mai popular vector de atac inițial, anul trecut

Potrivit raportului recent Kaspersky Incident Response Analytics, mai mult de jumătate (53,6%) dintre atacurile cibernetice din 2021 au început cu exploatări ale vulnerabilităților. Alte metode comune de atac inițial au inclus compromiterea conturilor și e-mailuri rău intenționate.

Atunci când atacatorii își planifică campaniile, de obicei urmăresc să găsească probleme de securitate ușor de identificat, cum ar fi servere publice cu vulnerabilități binecunoscute, parole slabe sau conturi compromise. An de an, acești vectori de acces inițial au dus la un număr tot mai mare de incidente de securitate cibernetică de mare gravitate.

Analiza datelor anonimizate din cazurile de răspuns la incidente gestionate de Kaspersky Global Emergency Response Team (GERT) din întreaga lume arată că exploatarea aplicațiilor publice, accesibile atât din rețeaua internă, cât și prin intermediul internetului, a devenit cel mai utilizat vector initial pentru a pătrunde în perimetrul unei organizaţii. Ponderea acestei metode ca vector inițial de atac a crescut de la 31,5% în 2020 la 53,6% în 2021, în timp ce utilizarea conturilor compromise și a e-mailurilor rău intenționate a scăzut de la 31,6% la 17,9% și, respectiv, de la 23,7% la 14,3%. Această schimbare este probabil legată de vulnerabilitățile descoperite pe serverele Microsoft Exchange anul trecut. Ubicuitatea acestui serviciu de e-mail și disponibilitatea publică a exploit-urilor pentru aceste vulnerabilități au dus la un număr mare de incidente conexe.

În ceea ce privește impactul atacurilor, criptarea fișierelor, care este unul dintre cele mai comune tipuri de ransomware și privează organizațiile de acces la datele lor, a rămas principala problemă cu care se confruntă companiile, timp de trei ani la rând. În plus, numărul organizațiilor care au întâlnit cryptors în rețeaua lor a crescut semnificativ în perioada observată (de la 34% în 2019 la 51,9% în 2021). Un alt aspect alarmant este că, în mai mult de jumătate din cazuri (62,5%), atacatorii petrec mai mult de o lună în interiorul rețelei înainte de a cripta datele.

Aceștia reușesc să rămână neobservați în interiorul unei infrastructuri, în mare parte datorită instrumentelor OS, instrumentelor ofensive binecunoscute, dar și utilizării cadrelor comerciale, care sunt implicate în 40% din totalul incidentelor. După obținerea accesului inițial, atacatorii folosesc instrumente legitime în diferite scopuri: PowerShell pentru a colecta date, Mimikatz pentru a escalada privilegiile, PsExec pentru a executa comenzi de la distanță sau cadre precum Cobalt Strike pentru toate etapele atacului.