Ezen kívül a kívülről elérhető távoli szolgáltatások, például az RDP voltak a leggyakoribb vektorok, amelyek révén a támadók megszerezték a kezdeti hozzáférésüket a hálózatokhoz; 2023-ban az IR esetek 65 százalékában így törtek be először a rendszerekbe.
Fotó: Pixabay
Az aktív ellenfelekről szóló jelentések 2020-as megjelenése óta folyamatosan a külső távoli szolgáltatások jelentik a kiberbűnözők kezdeti hozzáférésének leggyakoribb forrását, és a védőknek ezt egyértelmű jelnek kell tekinteniük arra vonatkozóan, hogy e szolgáltatások kezelését prioritásként kezeljék a vállalatot érintő kockázatok kiértékelésekor.
“A külső távoli szolgáltatások szükséges, de kockázatos igények sok vállalkozás számára. A támadók tisztában vannak azzal, hogy ezek a szolgáltatások milyen kockázatot jelentenek, és aktívan törekednek ezek kihasználására a rajtuk keresztül megszerezhető javak miatt. A szolgáltatások szabadon elérhetővé tétele gondos mérleges és a kockázataik csökkentése nélkül elkerülhetetlenül kompromittációhoz vezet. Nem tart sokáig, amíg egy támadó megtalálja és feltöri a külvilág számára hozzáférhető RDP-szervert és további vezérlők, korlátok nélkül a túloldalon váró Active Directory szerver megtalálása sem sok idő számára” mondta John Shier, a Sophos field CTO-ja.
Egy Sophos X-Ops vásárló esetében a támadók hat hónapon belül négyszer törték fel sikeresen az áldozatot, minden alkalommal az ügyfél nyíltan hozzáférhető RDP portjain keresztül szerezve meg a kezdeti hozzáférést. A bejutást követően a támadók laterálisan mozogtak az ügyfél hálózat belül, ártó célú futtatható programokat töltöttek le, letiltották a végpontvédelmet és távoli hozzáférést hoztak létre.
