Хакеры ускорились: от публикации данных об уязвимостях до начала атак на них проходит не более 15 минут

Как показало новое исследование, у администраторов крупных сетевых ресурсов есть очень мало времени на защиту от новых брешей в безопасности их систем. Как только информация о новых уязвимостях публикуется в Сети, поиск по ним злоумышленники начинают в течение 15 минут. На это дело не нужны профессионалы. Первичные данные могут собирать дилетанты, которые затем продают собранную информацию в даркнете.

 Источник изображения: Unit 42

Источник изображения: Unit 42

Анализ методов атаки также дал интересную картину. Отчёт сообщает, что в первой половине 2022 года наиболее эксплуатируемыми уязвимостями для доступа к системам была цепочка эксплойтов ProxyShell, на которую пришлось 55 % всех зарегистрированных случаев взлома. ProxyShell представляет собой атаку с объединением трёх уязвимостей: CVE-2021-34473, CVE-2021-34523 и CVE-2021-31207.

Забавно отметить, но «уязвимость десятилетий»Log4Shell — оказалась только на втором месте с долей 14 %. Ещё 7 % атак — это вариации SonicWall, 5 % — ProxyLogon, а RCE в Zoho ManageEngine ADSelfService Plus использовался в 3 % случаев. Нетрудно заметить, что в основном эксплуатируются не совсем новые уязвимости. Техника уже наработана и не требует много умений. Но это не означает, что новые уязвимости условно безопасны. Прежде всего, это дыры в самых защищённых системах, администраторы которых быстрее всего реагируют на угрозы. Именно такие системы в первые часы атакуют профессиональные хакеры в надежде на запоздалую реакцию администраторов.

 Источник изображения: Unit 42

Источник изображения: Unit 42

Что касается первого входа в уязвимые системы, то примерно треть случаев приходится на дыры в программном обеспечении. Фишинг позволяет войти в 37 % случаев взлома. Ещё 15 % приходится суммарно на «брутальный» вход и компрометацию учётных данных. Методы социальной инженерии и подкуп дают ещё 10 % случаев входа. Из этого следует, что гонка за временем при установке заплаток важна только для серьёзных сетей, тогда как обычные пользователи расстаются с конфиденциальными данными преимущественно либо по халатности, либо по невнимательности.