
بروزرسانی: 20 تیر 1404
بازیگران تهدیدهای برنامه های عمومی را برای دسترسی اولیه هدف قرار می دهند
به گفته سیسکو تالوس ، تمرکز بازیگران تهدیدها در بهره برداری از درخواست های عمومی برای دستیابی به دسترسی اولیه را افزایش می دهد. روند پاسخ به تصادف در Q4 2024 یک گزارش
بهره برداری از برنامه های کاربردی برای عموم رایج ترین روش برای دستیابی به دسترسی اولیه در Q4 2024 بود و 40 ٪ تصادفات را تشکیل می دهد.
محققان گفتند که این نشان دهنده "تغییر قابل توجه" در تکنیک های دسترسی اولیه است. قبل از این سه ماه ، راه حل سازش قابل توجه ترین روش برای اولین بار برای بیش از یک سال بود.
استفاده فزاینده از پوسته وب محرک اصلی این روند بود. پوسته های وب در 35 ٪ از تصادفات مورد تجزیه و تحلیل سیسکو تالوس در سه ماهه چهارم در برابر برنامه های وب ضعیف یا نامحدود مستقر شدند. این یک افزایش قابل توجه نسبت به سه ماهه قبلی است ، هنگامی که پوسته های وب در کمتر از 10 ٪ موارد منتشر شد.
این تهدیدها از گروهی از پوسته های وب منبع باز در دسترس عموم استفاده می ،د. عملکردهای وب و برنامه های وب که از طریق تصادفات هدف قرار می گیرند ، راه های مختلفی را برای مهاجمان فراهم می کند تا از سرورهای ضعیف وب به ،وان دروازه ای در محیط قرب، بهره مند شوند.
کاهش تصادفات باج
باج افزار و داده ها 30 ٪ از تصادفاتی که سیسکو تالوس در Q4 شرکت می کند. این نشان دهنده کاهش 40 ٪ در Q3 2024 است.
زمان اقامت مهاجمان در این سه ماهه متفاوت بود ، از 17 تا 44 روز. طول، ترین زمان مسکن حاکی از آن است که حریف به دنبال حرکت به پهلو ، فرار از دفاعی و/یا شناسایی داده ها با علاقه به تصفیه است.
در یکی از حوادث قابل مشاهده Ransomhub ، اپراتورها بیش از یک ماه قبل از اجرای برنامه باج افزار و رویه هایی مانند بررسی داخلی شبکه ، دسترسی به رمزهای عبور برای تهیه نسخه پشتیبان و داده های اعتبار سنجی توانستند به شبکه ریسک دسترسی پیدا کنند.
مهاجمان به منظور دستیابی به دسترسی اولیه و یا اجرای برنامه باج افزار در سیستم های هدفمند ، حساب های معتبر را در 75 ٪ از حوادث باج افزار در معرض دید قرار داده اند.
به ،وان مثال ، شرکت های RansomHub با استفاده از حساب کاربری قائم برای اجرای باج افزار ، تخلیه اتخاذ داده ها و عملکرد عملیات نظرسنجی با استفاده از ابزار اسکن شبکه تجاری دیده می شدند.
سیسکو تالوس متوجه استفاده از ابزارهای دسترسی از راه دور 100 ٪ در Q4 شد. این نشان دهنده افزایش نسبت به سه ماهه قبلی است ، هنگامی که فقط در 13 ٪ تصادفات مشاهده شد.
Splashtop رایج ترین ابزار دسترسی از راه دور بود که در 75 ٪ از باج افزار دخیل است.
اکنون بخو،د: RansomHub از قفل به ،وان یک گروه باج بیشتر پیشی می گیرد
نیاز به MFA اجرا شده به درستی
سیسکو تالوس گفت که یافته های آن بر اهمیت استفاده از چندین عامل (MFA) در کلیه خدمات مهم ، از جمله کلیه خدمات دسترسی ، هویت و دسترسی از راه دور (IAM) تأکید دارد.
اگرچه بهره برداری از درخواست های پیش رو سال افزایش می یابد ، اما راه حل سازش هنوز یک تاکتیک مهم برای فعالیتهای اولیه و فعالیتهای تسویه حساب است.
محققان دریافتند که 40 ٪ از کل امتیازات در سه ماهه چهارم شامل اشتباه ، ضعیف یا کمبود MFA است. علاوه بر این ، تمام مؤسسات تحت تأثیر برنامه های باج از طریق مهندسی اجتماعی به درستی اجرا یا نادیده گرفته نشده اند.
منبع: https://www.infosecurity-magazine.com/news/threat-actors-public-apps-initial/