Raport „The Sophos Active Adversary Report for Business” został opracowany na podstawie analiz sporządzonych przez zespół Sophos Incident Response. Dane zawarte w raporcie pochodzą ze śledztw przeprowadzonych od stycznia do lipca 2023 r. w firmach z 25 różnych branż w 33 krajach z całego świata, w tym w Polsce. 88% śledztw dotyczyło firm zatrudniających mniej niż 1000 pracowników.

Według analiz zespołu Sophos X-Ops najbardziej powszechnymi atakami na firmy były te z wykorzystaniem ransomware. Stanowiły one aż 69% wszystkich badanych przypadków. W czterech na pięć ataków cyberprzestępcy szyfrowali firmowe pliki poza godzinami pracy przedsiębiorstw. Blisko połowa (43%) działań hakerów była wykrywana w piątki lub soboty.

Zobacz również:

• Polacy bezrefleksyjnie ufają technologii?
• Przeglądarka Chrome będzie jeszcze jakiś czas akceptować pliki cookie
• Cyberobrona? Mamy w planach

John Shier, dyrektor ds. technologii w firmie Sophos, tłumaczy, że dzięki technologiom takim jak XDR (rozszerzone wykrywanie i reagowanie na zagrożenia) i MDR (zarządzane wykrywanie zagrożeń i reagowanie na nie) znacząco skróciło się „okno operacyjne”, w czasie którego atakujący mogą dokonać szkód. W 2021 r. średni czas wykrycia hakerów w infrastrukturze IT wynosił 15 dni, w zeszłym roku 10, a w 2023 r. – zaledwie 8.

„Cyberprzestępcy, zwłaszcza ci którzy mają doświadczenie i zaplecze w postaci dostępu do oprogramowania ransomware, wciąż udoskonalają swoje strategie. Wraz ze wzrostem popularności technologii takich jak XDR i usług typu MDR, wzrosła nasza zdolność do szybszego wykrywania ataków, ale nie oznacza to, że wszyscy jesteśmy dzięki nim bezpieczniejsi. Atakujący wciąż dostają się do naszych sieci, a jeśli nie czują presji czasu, mają tendencję do pozostawania w nich. Dlatego tak ważne jest ciągłe i proaktywne monitorowanie sytuacji” – wyjaśnia John Shier.

Analitycy Sophos zwracają również uwagę na to, jak niewiele czasu potrzebują atakujący, by przejąć kontrolę nad infrastrukturą Active Directory (AD), która odpowiada za zarządzanie dostępami. Zazwyczaj wystarczy zaledwie 16 godzin, aby cyberprzestępcy zapewnili sobie szeroki dostęp do wszystkich firmowych systemów, aplikacji oraz plików.

„Kontrolując Active Directory, kontroluje się całą firmę” – przestrzega John Shier. „Przejęcie AD i nadanie sobie odpowiednich dostępów do zasobów zaatakowanej firmy pozwala hakerom pozostać niezauważonymi i w spokoju planować kolejne ruchy, takie jak łamanie kolejnych zabezpieczeń” – dodaje.

Atak, w czasie którego Active Directory trafi w ręce cyberprzestępców, jest jednym z najgorszych scenariuszy dla osób zajmujących się cyberbezpieczeństwem. Hakerzy niszczą w ten sposób fundament bezpieczeństwa całej firmy, co oznacza, że obrońcy swoje działania na rzecz przywrócenia pełnej funkcjonalności systemów muszą zaczynać od zera.