W 2022 roku hakerzy korzystali z ponad 500 różnych technik i narzędzi, by uzyskać nielegalny dostęp do danych przedsiębiorstw, to kluczowy wniosek z analiz danych ze 152 incydentów przeprowadzonych przez zespół Sophos Incident Response (IR).
Informacje zebrane w raporcie "The Sophos Active Adversary Report for Business Leaders", pochodzą z firm z 31 krajów, działających w 22 różnych branżach. Na ich podstawie eksperci Sophos wyszczególnili 118 rodzajów ataków z wykorzystaniem narzędzi LOLBin (legalne oprogramowanie i komponenty wbudowane w system Microsoft Windows). W przeciwieństwie do ransomware, LOLBiny są normalnymi plikami uruchamianymi w systemach operacyjnych. Podczas ataku bardzo trudno jest je zablokować, dlatego korzysta z nich coraz więcej cyberprzestępców.
Najczęstszym powodem, dla którego cyberataki kończyły się uzyskaniem dostępu do danych przedsiębiorstw, było niezałatanie podatności w zabezpieczeniach przez zespoły ds. bezpieczeństwa. W połowie analizowanych przypadków hakerzy wykorzystali odkryte jeszcze w 2021 r. luki ProxyShell i Logshell. Cyberprzestępcy często korzystali również z pozyskanych nielegalnie danych uwierzytelniających.
– Można powiedzieć, że obecnie cyberprzestępcy już się nie włamują, a po prostu logują. Wielkość i złożoność krajobrazu zagrożeń rozrosła się do punktu, w którym nie ma jasno określonych miejsc będących furtkami dla hakerów. Dla większości firm minęły czasy samodzielnej i skutecznej ochrony przed cyberatakami. Jednak dostępne są narzędzia i usługi, które mogą odciążyć specjalistów ds. bezpieczeństwa. Dzięki temu mogą oni skupić się na priorytetach biznesowych – mówi cytowany w komunikacie John Shier, dyrektor do spraw technologii w firmie Sophos.
Ponad 2/3 ataków zbadanych przez zespół Sophos IR zakończyło się zaszyfrowaniem danych za pomocą ransomware. Złośliwe oprogramowanie pozostaje najpoważniejszym zagrożeniem dla firm. Skrócił się za to średni czas wykrycia obecności cyberprzestępców w infrastrukturze IT – z 15 do 10 dni względem roku 2021 r. W przypadku zainfekowania ransomware z 11 do 9 dni, a w innych rodzajach ataków z 34 do 11 dni. W przeciwieństwie do ubiegłych lat średnie czasy wykrycia nie różniły się znacząco między przedsiębiorstwami różnej wielkości i z różnych branż.