De fleste har nå fått med seg at skadevare, og særlig utpressingsvare, kan gjøre meget stor skade, men ennå finnes det mange ubesvarte spørsmål omkring hvordan skadevareangrep utføres. Nå har et sikkerhetsselskap kastet litt lys over nettopp dette, melder ZDNet.
Det britiske sikkerhetsselskapet Sophos utarbeidet nylig en rapport som tar for seg adferden til ulike typer skadevare, basert på erfaringene fra egne kunder. Sophos leverer sikkerhetstjenester til over 500.000 organisasjoner og flere millioner kunder i over 150 land, ifølge selskapet selv.
Holder seg skjult i 11 dager
Den nye rapporten, som dekker perioden 2020 og begynnelsen av 2021, byr på en del interessante opplysninger, blant annet hvor lenge skadevare befinner seg på systemene til ofrene før den blir oppdaget.
Ifølge Sophos ligger mediantiden det tar å oppdage skadevare på 11 dager – eller 264 timer. Dette kan høres lenge ut, men tallet er faktisk vesentlig kortere enn det andre har rapportert tidligere.
Sikkerhetsselskapet sier at dette henger sammen med at 81 prosent av angrepene de håndterte i perioden var relatert til utpressingsvirus (ransomware). Denne typen programvare har som regel kortere aktiveringstid enn skadevare som for eksempel brukes til å hente ut data og spionasje.
Av andre sentrale funn i rapporten opplyser Sophos at Remote Desktop Protocol (RDP) spilte en rolle i hele 90 prosent av angrepene som selskapet håndterte, men ikke nødvendigvis i alle fasene av angrepene. RDP var likevel involvert i den første fasen av angrepene i 30 prosent av tilfellene, ifølge Sophos. På andreplass var phishing med 12 prosent.
Powershell mest brukt
Generelt er RDP-kompromittering den mest utbredte distribusjonsmetoden for utpressingsvare. Metoden ble blant annet brukt til spredning av Revil-viruset som rammet PC-produsenten Acer og en av Apples største leverandører tidligere i år.
Sikkerhetsselskapet satte også sammen en liste over de mest brukte verktøyene blant ondsinnede aktører, hvorav mange er verktøy som benyttes til legitime formål. På toppen av listen, som til sammen omfatter hele 405 verktøy, ligger Microsoft-rammeverket Powershell, og bak følger testverktøyet Cobalt Strike – som ble brukt i de mye omtalte Solarwinds-angrepene.
Et noe alarmerende funn er at hele 54 prosent av angrepene Sophos responderte på, rammet systemer som ikke hadde beskyttelse på plass. 27 prosent av angrepene dreide seg om tyveri av data, og i 17 prosent av tilfellene ble data publisert av bakmennene – en trend vi har sett flere eksempler på i forbindelse med utpressingsvirus den siste tiden.
Flere funn og detaljer kan du finne i selve rapporten.
Kraftig økning: Så mye koster det i snitt å bli infisert av utpressingsvirus