מחקר: עלייה מסיבית במתקפות מבוססות זהות
במקום שההאקרים ייאלצו לעבוד קשה יותר כדי להמשיך להשתמש באותן שיטות ממוקדות נקודת קצה שהצליחו להם בעבר, התוקפים משקיעים את האנרגיות שלהם בשני שדות פעילות: ניצול זהויות מהימנות וניצול כלי מתקפה קיימים
בעוד מפעילי מתקפות כופרה מסורתיות מתקשים להצליח, חל גידול משמעותי במתקפות מבוססות זהות ומתקפות מרוחקות, כך לפי מחקר חדש של קראוד סטרייק (CrowdStrike).
לפי דו"ח ציד האיומים של ענקית האבטחה לשנת 2023, "נכון לעכשיו, איומים המתבססים על גניבת זהות, או כאלה שמנצלים זהויות שכבר נגנבו, או שנעשה בהם שימוש לא ראוי בעבר – הם מספר 1".
לפי המחקר, "כעת, במקום שההאקרים ייאלצו לעבוד קשה יותר, כדי להיות מסוגלים להמשיך להשתמש באותן שיטות ממוקדות נקודת קצה שהצליחו להם בעבר, התוקפים משקיעים את האנרגיות שלהם בשני שדות פעילות: ניצול זהויות מהימנות ודפוס מתקפה המכונה 'לחיות מהאדמה', משמע ניצול כלי מתקפה קיימים ולא הוספת כלי פריצה חדשים. זאת, על ידי שימוש בכלים לגיטימיים, כגון RMM (ניטור וניהול מרחוק)". כך, ציינו החוקרים, "שחקני האיום נוטים יותר ויותר להשתמש בזהויות שנפגעו ולפעול באופן שיקשה על זיהוי הפעילויות העתידיות שלהם".
לצד דיווח על "הסלמה מסיבית" בפריצות שניצלו מתקפות מבוססות זהות, המחקר מצא גידול משמעותי, של כמעט פי שישה משנה לשנה בסוג של מתקפה המכונה Kerberoasting. מדובר בטכניקה, שבמסגרתה ההאקרים גונבים אישורים לגיטימיים של Active Directory. כך, הם זוכים לקבל הרשאות נרחבות יותר, שאותן הם מנצלים כדי להישאר נסתרים. עוד העלה המחקר גידול של 62% בפריצות שכללו ניצול לרעה של חשבונות חוקיים ולגיטימיים. בנוסף, נמצא זינוק של 160% בניסיונות של תוקפים להשיג אישורים מסוגים שונים, כגון מפתחות של ממשקי API לנתונים בענן.
שימוש זדוני ב-RMM (כלי ניהול מרחוק) ממשיך להוות איום הולך וגובר, כך לפי דו"ח ציד האיומים. החוקרים מצאו גידול ניכר, בשיעור שנתי של 312% – בשימוש לרעה בפלטפורמות RMM על ידי תוקפים. כלים אלה מנפיקים פחות התראות לצוותי האבטחה: "ארגונים רבים כבר משתמשים בכלים אלה באופן פנימי. כך, ההאקרים יכולים לשלב אותם לפני ובמהלך המתקפה, תוך שהם נחבאים טוב יותר. הם בונים לעצמם מרחב פעולה גדול יותר וזמן פעולה ארוך יותר".
החוקרים סיכמו בציינם, כי "בסופו של דבר, ככל שהתוקפים לא יתגלו למשך זמן רב יותר, כך הם יכולים לגנוב יותר נתונים, לקבל יותר הזדמנויות לעשות סחיטת נתונים, או להשיג כל מטרה זדונית אחרת שלהם. הרעים מפתחים עוד יכולות ועוד טכניקות, והם מתמקדים בשימוש בזהויות ובכלים לגיטימיים במהלך המתקפות. לכן גם ארגונים חייבים להיות מוכנים להסתגל בתגובה שלהם, ולהציג מענה זריז, הכולל שילוב של ניתוח אנושי, ציד איומים ומודיעין איומים".
תגובות
(0)