Η Sophos, παγκόσμιος ηγέτης καινοτόμων λύσεων ασφαλείας για την αντιμετώπιση κυβερνοεπιθέσεων, προχώρησε στη δημοσίευση της νέας της έκθεσης Sophos Active Adversary Report 2025, η οποία περιγράφει με λεπτομέρεια τη συμπεριφορά και τις τεχνικές που χρησιμοποίησαν επιτιθέμενοι σε περισσότερες από 400 περιπτώσεις διαχειριζόμενης ανίχνευσης και ανταπόκρισης ή MDR (Managed Detection and Response) και αντιμετώπισης συμβάντων ή IR (Incident Response) το έτος 2024. Στην έκθεση διαπιστώθηκε ότι ο κύριος τρόπος για να αποκτήσουν οι επιτιθέμενοι αρχική πρόσβαση στα δίκτυα (56% όλων των περιπτώσεων σε MDR και IR) ήταν η εκμετάλλευση εξωτερικών υπηρεσιών απομακρυσμένης πρόσβασης, συμπεριλαμβανομένων και συσκευών στα άκρα ή στις παρυφές του δικτύου, όπως είναι τείχη προστασίας (firewalls) και ιδιωτικά εικονικά δίκτυα (VPNS) αξιοποιώντας έγκυρα διαπιστευτήρια λογαριασμών.

Ο συνδυασμός εξωτερικών υπηρεσιών απομακρυσμένης πρόσβασης και έγκυρων λογαριασμών ευθυγραμμίζεται με τις κορυφαίες βασικές αιτίες των επιθέσεων. Για δεύτερη συνεχόμενη χρονιά, τα παραβιασμένα διαπιστευτήρια ήταν η υπ’ αριθμόν ένα βασική αιτία των επιθέσεων (στο 41% των περιπτώσεων), ακολουθούμενη από τις εκμεταλλεύσιμες ευπάθειες (21,79%) και τις επιθέσεις ωμής βίας (21,07%).

Κατανοώντας την ταχύτητα των επιθέσεων

Κατά την ανάλυση των ερευνών MDR και IR, η ομάδα Sophos X-Ops εξέτασε ειδικά τις περιπτώσεις του λυτρισμικού (ransomware), της εξαγωγής δεδομένων και του εκβιασμού δεδομένων για να προσδιορίσει πόσο γρήγορα οι επιτιθέμενοι προόδευαν σε κάθε στάδιο μίας επίθεσης εντός κάποιου οργανισμού. Σε αυτούς τους τρεις τύπους περιπτώσεων, ο μέσος χρόνος μεταξύ της έναρξης μιας επίθεσης και της εξαγωγής δεδομένων έφτασε να είναι μόλις 72,98 ώρες (3,04 ημέρες). Επιπλέον, ο χρόνος που μεσολάβησε από την εξαγωγή δεδομένων μέχρι τον εντοπισμό μίας επίθεσης ήταν μόλις 2,7 ώρες.

«Η παθητική ασφάλεια δεν επαρκεί πλέον. Την ώρα που η πρόληψη είναι απαραίτητη, η τάχιστη αντιμετώπιση είναι κρίσιμης σημασίας. Είναι απαραίτητο για τους οργανισμούς να παρακολουθούν ενεργά τα δίκτυα τους και να ενεργούν γρήγορα βάσει της παρατηρούμενης τηλεμετρίας. Οι συντονισμένες επιθέσεις από αντιπάλους που έχουν κίνητρο απαιτούν και συντονισμένη άμυνα. Για πολλούς οργανισμούς, αυτό σημαίνει ότι πρέπει να συνδυάσουν εξειδικευμένη επιχειρησιακή γνώση με εντοπισμό και αντιμετώπιση συμβάντων υπό την καθοδήγηση ειδικών. Η έκθεσή της Sophos επιβεβαίωσε επίσης ότι οι οργανισμοί με προληπτική παρακολούθηση καταφέρνουν να εντοπίσουν ταχύτερα τις επιθέσεις ταχύτερα και έχουν καλύτερα αποτελέσματα» δήλωσε ο John Shier, Field CISO της Sophos.

Άλλα βασικά ευρήματα από την έκθεση της Sophos, Active Adversary Report 2025:

• Οι επιτιθέμενοι μπορούν να πάρουν τον έλεγχο ενός συστήματος σε μόλις 11 ώρες: Ο μέσος χρόνος μεταξύ της αρχικής ενέργειας των επιτιθέμενων και της πρώτης (συχνά επιτυχημένης) απόπειρας παραβίασης του Active Directory (AD) -αναμφισβήτητα ένα από τα πιο σημαντικά περιουσιακά στοιχεία σε κάθε δίκτυο Windows – ήταν μόλις 11 ώρες. Σε περίπτωση επιτυχίας, οι επιτιθέμενοι είναι σε θέση να πάρουν τον έλεγχο του οργανισμού εύκολα.
• Κορυφαίες ομάδες ransomware σε περιπτώσεις της Sophos: Η συχνότερα εμφανιζόμενη ομάδα ransomware για το 2024 ήταν η Akira, ακολουθούμενη από τις Fog και LockBit (παρά την κατάρριψη της LockBit από πολλές κυβερνήσεις στις αρχές του έτους).
• Ο χρόνος παραμονής μειώθηκε σε μόλις 2 ημέρες: Συνολικά, ο χρόνος παραμονής -ο χρόνος από την έναρξη μιας επίθεσης μέχρι τον εντοπισμό της – μειώθηκε από τις 4 ημέρες σε μόλις 2 το 2024, κυρίως λόγω της προσθήκης υποθέσεων MDR στο σύνολο δεδομένων.
• Χρόνος παραμονής στις περιπτώσεις IR: Ο χρόνος παραμονής παρέμεινε σταθερός στις 4 ημέρες για τις επιθέσεις ransomware και στις 11,5 ημέρες για τις περιπτώσεις που δεν συμμετείχε ransomware.
• Χρόνος παραμονής σε περιπτώσεις MDR: Στις περιπτώσεις MDR, ο χρόνος παραμονής ήταν μόλις 3 ημέρες για τις περιπτώσεις ransomware και μόλις 1 ημέρα για τις περιπτώσεις που δεν υπήρχε ransomware, υποδηλώνοντας ότι οι ομάδες MDR ήταν σε θέση να εντοπίζουν και να ανταποκρίνονται ταχύτερα στις επιθέσεις.
• Οι ομάδες ransomware εργάζονται κατά τη διάρκεια της νύχτας: Το 2024, το 83% των ransomware binaries «ρίχνονταν» εκτός του τοπικού ωραρίου εργασίας των στόχων.
• Το πρωτόκολλο απομακρυσμένης επιφάνειας εργασίας συνεχίζει να κυριαρχεί: Το RDP εμπλέκεται στο 84% των περιπτώσεων MDR/IR, με αποτέλεσμα να αποτελεί το συχνότερα καταχραζόμενο εργαλείο της Microsoft.

Για να ενισχύσουν τις άμυνές τους, η Sophos συνιστά στις εταιρείες να κάνουν τα εξής:

• Να κλείσουν τις εκτεθειμένες θύρες RDP
• Να χρησιμοποιούν έλεγχο ταυτότητας πολλαπλών παραγόντων (MFA) ανθεκτικό στο ηλεκτρονικό ψάρεμα, όπου είναι δυνατόν
• Να επιδιορθώνουν έγκαιρα τα ευάλωτα συστήματα, δίνοντας ιδιαίτερη έμφαση στις συσκευές και στις υπηρεσίες που έχουν πρόσβαση στο διαδίκτυο
• Να εγκαταστήσουν/εφαρμόσουν άμυνες EDR ή MDR και να διασφαλίσουν ότι τα δίκτυα τους παρακολουθούνται προληπτικά 24 ώρες το 24ωρο
• Να καταστρώσουν ένα ολοκληρωμένο σχέδιο αντιμετώπισης συμβάντων/περιστατικών, το οποίο θα δοκιμάζουν και θα αξιολογούν τακτικά μέσω προσομοιώσεων ή ασκήσεων.

Διαβάστε την πλήρη έκθεση It Takes Two: The 2025 Sophos Active Adversary Report στην ιστοσελίδα Sophos.com.

Πηγή: Sophos