Duże, dobrze prosperujące przedsiębiorstwa to niejedyne cele cyberprzestępców. Z raportu Sophos wynika, że im mniejsza firma, tym dłużej atakujący są w stanie przetrwać w sieci – nawet ponad miesiąc. Badanie wskazuje też, że do szkodliwej działalności najczęściej wykorzystywane są luki w Microsoft Exchange.
![Sophos: „Im mniejsza firma, tym hackerzy dłużej są w stanie przetrwać w sieci (średnio 15 dni)” 1 Średnia ilość dni pozostania niezauważonym w sieci po udanym cyberataku.](https://avlab.pl/wp-content/uploads/2022/06/sophos-mediana-niezauważonych-cyberataków.webp)
W ubiegłym roku średni czas, po którym wykryto obecność cyberprzestępców w firmowej infrastrukturze IT, wydłużył się o 36%. Co więcej, zazwyczaj zostają oni zauważeni dopiero w momencie, gdy oprogramowanie ransomware, którym zainfekowany jest system, zacznie swoją szkodliwą działalność. Ten rodzaj ataku stanowił aż 73% wszystkich analizowanych w raporcie przypadków.
Mała firma, wielkie kłopoty
Według raportu Sophos cyberprzestępcy dłużej przebywają w infrastrukturze IT mniejszych firm. W przypadku przedsiębiorstw liczących do 250 pracowników, atakujący są aktywni nawet 51 dni, a w podmiotach zatrudniających od 3 do 5 tys. osób – średnio 20 dni.
![Sophos: „Im mniejsza firma, tym hackerzy dłużej są w stanie przetrwać w sieci (średnio 15 dni)” 2 Grzegorz Nocoń](https://avlab.pl/wp-content/uploads/2021/05/Grzegorz-Nocon-Sophos.jpg)
Luki w powszechnie wykorzystywanym oprogramowaniu
Autorzy raportu zwracają szczególną uwagę na niezałatane luki w oprogramowaniu, takie jak ProxyShell i ProxyLogon w serwerach poczty elektronicznej Microsoft Exchange. Cyberprzestępcy wykorzystali je w blisko połowie badanych w 2021 r. przypadków. Dla porównania, tylko co dwudziesty atak nastąpił w wyniku złamanych bądź nielegalnie pozyskanych danych uwierzytelniających.
![Sophos: „Im mniejsza firma, tym hackerzy dłużej są w stanie przetrwać w sieci (średnio 15 dni)” 3 sophos statystyki ataków](https://avlab.pl/wp-content/uploads/2022/06/sophos-statystyki-ataków.webp)
W swoim badaniu eksperci Sophos wyróżnili grupy IAB (Initial Access Brokers), zajmujące się pozyskiwaniem danych dostępowych do systemów firm, a następnie odsprzedawaniem ich innym przestępcom, np. udostępniającym ataki ransomware jako usługę (Ransomware as a Service, RaaS). Wraz ze wzrostem aktywności takich grup rośnie także poziom trudności wykrywania ataków. IAB bezwzględnie wykorzystują słabe punkty zabezpieczeń, szczególnie nowo wykryte luki w popularnych aplikacjach.
Czy ten artykuł był pomocny?
Oceniono: 0 razy