Lamanya waktu malware tetap tersembunyi di sistem korban bisa sampai 15 hari. luar biasa.
Sophos mengungkapkan hal ini dalam laporan Active Adversary Playbook 2022 mereka, merinci perilaku penyerang yang terlihat di dunia maya oleh tim respons cepat Sophos pada tahun 2021.
Menurut laporan tersebut, waktu tidur telah meningkat sebesar 36% dan rata-rata waktu bertahan hidup penyusup adalah dari 11 hari pada tahun 2020 menjadi 15 hari pada tahun 2021. Settling time adalah jumlah waktu malware tetap berada di sistem.
Laporan ini juga menunjukkan dampak kerentanan di ProxyShell Microsoft Exchange. ProxyShell digunakan oleh beberapa Perantara Akses Awal (IAB) untuk menyusup ke jaringan dan menjual akses mereka ke penyerang lain, kata Sophos.
“Kejahatan dunia maya telah menjadi pasar yang sangat beragam dan khusus. Dengan menjual akses langsung ke kelompok ransomware untuk menembus target, melakukan pengintaian eksplorasi, atau memasang pintu belakang, dan kemudian melakukan serangan. Ini telah mengubah industri.” John Scheer, Penasihat Keamanan Senior di In Sophos, mengatakan dalam sebuah pernyataan yang diterima , “Mereka melakukannya sendiri.”
“Dalam lanskap ancaman dunia maya berbasis spesialisasi yang semakin dinamis, mungkin sulit bagi bisnis untuk memahami alat dan metode yang terus berubah yang digunakan oleh penyerang. Untuk alasan ini, penting untuk memahami apa yang dicari personel keamanan di setiap tahap dari rantai serangan yang disediakan oleh Speak up untuk mendeteksi dan menetralisir serangan secepat mungkin.
Studi Sophos menemukan bahwa penyusup bertahan lebih lama di lingkungan bisnis kecil. Seorang penyerang dapat bertahan sekitar 51 hari di sebuah perusahaan dengan hingga 250 karyawan, tetapi biasanya menghabiskan 20 hari di sebuah perusahaan dengan 3.000 hingga 5.000 karyawan.
Waktu tunggu yang lama dan titik masuk yang terbuka membuat organisasi rentan terhadap banyak penyerang. Bukti forensik menunjukkan bahwa banyak musuh, termasuk IAB, grup ransomware, pelanggan kripto, dan beberapa operator ransomware secara bersamaan menargetkan organisasi yang sama.
Laporan tersebut juga menempatkan Conti sebagai grup ransomware paling umum pada tahun 2021, terhitung 18% dari semua insiden.
Ransomware REvil menyumbang 1 dari 10 insiden, dan ransomware populer lainnya termasuk DarkSide dan RaaS di balik serangan pipa kolonial yang terkenal di Amerika Serikat, dan ransomware “baru” yang muncul setelah kerentanan ProxyLogon Maret 2021. Ada satu, Black KingDom .
Dari 144 insiden yang termasuk dalam analisis, 41 ransomware yang berbeda diidentifikasi. Dari jumlah tersebut, sekitar 28 adalah kombinasi baru yang pertama kali dilaporkan pada tahun 2021. 18 kelompok ransomware yang terlihat dalam insiden tahun 2020 telah dihapus dari daftar tahun 2017. 2021
Sophos Active Adversary Playbook 2022 mencakup 144 insiden yang terjadi pada tahun 2021 untuk perusahaan dari semua ukuran di berbagai industri yang berlokasi di AS, Kanada, Inggris, Jerman, Italia, Spanyol, Prancis, Swiss, Belgia, Belanda, dan Austria. . . Uni Emirat Arab, Arab Saudi, Filipina, Bahama, Angola, Jepang. Manufaktur (17%) adalah yang terbesar, diikuti oleh ritel (14%), kesehatan (13%), teknologi informasi (9%), konstruksi (8%) dan pendidikan (6%). Tujuan dari Laporan Sophos adalah untuk membantu tim keamanan perusahaan memahami apa yang dilakukan penyerang selama serangan dan bagaimana mengidentifikasi dan mempertahankan diri dari aktivitas jaringan yang berbahaya.
