Това е най-разпространения вектор за атака към корпоративните мрежи през 2022
Услуги за реализирането на далечен достъп към фирмените мрежи, като VPN и RDP са били най-разпространения способ за офанзива, регистриран през 2022. Това се показва в неотдавна излязъл отчет на ReliaQuest. Информацията в разбора се основава на данните, извлечени по време на оправянето с 35 000 случая в мрежите на клиенти на компанията в интервала февруари 2022 – февруари 2023. В обсъждания интервал са регистрирани съвсем 5000 случая на експлоатиране на този способ, което е съвсем двойно в съпоставяне със идната най-разпространена техника, употребена от киберпрестъпниците – дейното сканиране. Все по-разпространените офанзиви към VPN и RDP се отдава на засиленото потребление на този вид услуги по време на пандемичните години, което продължава и през днешния ден.
„ Това не би трябвало да е изненада. Изложени на открит достъп услуги, като VPN, Citrix, TeamViewer и RDP съставляват едни от най-разпространените способи за реализирането на първичен достъп до дадена мрежа или за обезпечаването на трайно наличие в тях “, се чете в отчета.
Изследването показва, че най-предпочитани за офанзива от брокерите на първичен достъп са RDP инстанциите, като те съставляват 24% от офанзивите към този жанр услуги. Това е и най-скъпоструващата „ стока “ в ъндърграунд форумите, където междинната цена на обезпечен RDP достъп е $1000. Брокерите на първичен достъп (Inital Access Brokers, IABs) са категория хакери, специализирали се в реализирането на кражба на данни за вход в дадена мрежа – информация, която те продават на различен жанр нарушители, като разпространители на рансъмуер, спам, шпионски програмен продукт и други
Анализът на обсъждания интервал показва също по този начин, че сходен жанр офанзиви стартират най-често с изпращането на фишинг имейл. Освен това, по предписание хакерите употребяват разнообразни техники, посредством които да прикрият дейностите си, като заличаване на данни от дневниците за събития в системите, изчистване на историята на командния ред и други Атаки към незащитени данни за достъп се откриват във финансовия бранш, фирмите, предоставящи друг тип услуги и обслужване биват атакувани най-често посредством открити портове в мрежата им, а за бранша с продажби, нарушителите употребяват уеб сайтове, наподобяващи тези на огромни компании. Най-често експлоатираната накърнимост в офанзивите, регистрирани от ReliaQuest се явява Spring4Shell (CVE-2022-22965), накърнимост в Spring MVS, Java фреймуърк, употребен за създаването на десктоп уеб приложения. Проблемът беше решен с издадена при започване на предходната година актуализация, само че киберпрестъпниците разчитат на съществуването на към момента уязвими инстанции на приложения, създадени благодарение на Spring MVS. Освен това, в Интернет са налични подготвени за потребление експлойти за уязвимостта, прецизират ReliaQuest.
„ Престъпниците употребяват всички налични им способи да се инфилтрират в организациите, а експлоатирането на услугите за далечен достъп продължава да е най-лесния метод за това. За организациите е значимо да реализират непрекъснат мониторинг и отбрана на този вид услуги “, заключава Майк Макферсън от ReliaQuest.
