A Sophos Incident Response (IR) és a Sophos Managed Detection and Response (MDR) esetei alapján a támadók leggyakrabban hálózati éleszközökön például tűzfalakon, routereken és VPN-eken keresztül jutottak be a hálózatokba. Ezek az eszközök az elsődleges veszélyeztetett pontot jelentették az esetek közel 30 százalékában.
A VPN-nel rendelkező tűzfalak különösen sebezhetők
A VPN-ek voltak a leggyakoribb veszélyeztetett pontok az MDR és IR esetekben, az összes incidens több mint 25 százalékát, valamint a zsarolóvírusos és adatlopási események 25 százalékát is ezek tették ki.
Fotó: Pexels
Sean Gallagher, a Sophos vezető fenyegetéskutatója úgy fogalmazott, hogy az elmúlt néhány évben a támadók kifejezetten intenzíven célozták meg a hálózati éleszközöket. A helyzetet tovább súlyosbítja az egyre nagyobb számban előforduló, már életciklusuk végén járó (EOL – End of Life) eszközök jelenléte – ezt a problémát nevezi a Sophos digitális hulladéknak. Mivel ezek az eszközök közvetlenül ki vannak téve az internet felé, és gyakran alacsony prioritást élveznek a frissítések szempontjából, rendkívül hatékony eszközei a hálózatokba való betörésnek.
Ugyanakkor az éleszközök célba vétele része annak a nagyobb változásnak, amelyet jelenleg is tapasztalunk: a támadóknak már nincs szükségük egyedi kártevők telepítésére. Ehelyett a vállalkozások saját rendszereit használják ki, ami növeli a mozgékonyságukat, és lehetővé teszi számukra, hogy olyan helyeken rejtőzzenek el, ahol a biztonsági vezetők nem keresnek.”
Mi fenyegeti a cégeket?
A Sophos beszámolója szerint a zsarolóvírus továbbra is a legnagyobb fenyegetés: A zsarolóvírusos támadások tették ki az incidenskezelési (IR) esetek több mint 90 százalékát a közepes méretű szervezeteknél, és az esetek 70 százalékát a kisvállalkozásoknál.
A támadók képesek megkerülni a többfaktoros hitelesítést (MFA) úgynevezett adversary-in-the-middle típusú támadásokkal, ahol hitelesítési tokeneket lopnak el. Ilyenkor egy adathalász platform segítségével utánozzák a bejelentkezési folyamatot, és megszerzik a hitelesítő adatokat, miközben az áldozat megpróbál belépni.
A támadók kedvelik a kereskedelmi távvezérlő eszközöket: A leggyakrabban visszaélt, legitim és megbízható eszközök a kereskedelmi távvezérlési megoldások voltak, amelyek az IR/MDR esetek 34 százalékában szerepeltek.
A támadók fejlesztik a social engineering taktikáikat: Előtérbe kerül a QR-kódokkal való visszaélés (quishing) és az SMS-alapú csalás (vishing). Emellett megjelent az email bombing is – ez a módszer során egy-két órán belül több ezer spam e-mailt küldenek el az áldozatnak.
