Saskaņā ar CrowdStrike datiem identitātes zādzība (Identity theft) ir kļuvusi par galveno sākotnējās piekļuves metodi draudu dalībniekiem (threat actors).
Uzņēmums CrowdStrike savā 2023. gada draudu izpētes ziņojumā (2023 Threat Hunting Report), kas tika publicēts Black Hat USA (starptautiski atzīta kiberdrošības pasākumu sērija) laikā, konstatēja, ka 80% pārkāpumu tagad ir saistīti ar kompromitētu identitāšu izmantošanu. No tiem 62% ir saistīti ar likumīgu kontu ļaunprātīgu izmantošanu un 34% ar domēna vai noklusējuma kontu izmantošanu.
Uzņēmuma CrowdStrike izlūkošanas viceprezidents Ādams Meijers uzskata, ka uzņēmumu drošības, īpaši galapunktu atklāšanas un reaģēšanas (EDR – endpoint detection and response), risinājumu attīstība apgrūtina draudu dalībniekiem, izspiedējvīrusu grupām, kā arī nacionālo valstu grupām sasniegt savus mērķus, ieviest savus rīkus un palikt vienā konkrētā tīklā, netiekot atklātiem.
Šā iemesla dēļ pretinieki, lai iegūtu sākotnējo piekļuvi tīkliem, pārsvarā ir izmantojuši identitātes zādzību metodes, kuras var iedalīt trīs kategorijās:
- Sociālās inženierijas metodes
- Akreditācijas datu zādzība, izmantojot informācijas zagļus un neaizsargātas ierīces
- Akreditācijas datu vākšana (piemēram, no kompromitētām vai noplūdinātām datubāzēm)
Piemēram, kompānija CrowdStrike novēroja par 160% vairāk mēģinājumu iegūt slepenas atslēgas un citus akreditācijas materiālus, izmantojot mākoņa API, nekā 2022. gadā.
Citi atklājumi ietver satraucošu 583% kerberoasting (uzbrukuma veids, kas ir vērsts pret Kerberos autentifikācijas protokolu, ko izmanto Microsoft Active Directory, kad uzbrucējs uzdodas par lietotāju un iegūst piekļuvi sensitīviem resursiem) pieaugumu. Tāpat atklāts 300% pieaugums attālinātas pārvaldības rīku izmantošanai ļaunprātīgos nolūkos.
Nepieciešami turpmāki ieguldījumi identitātes drošībā
“Pēc iekļūšanas tīklā tā vietā, lai izmantotu rīkus, kurus varētu atklāt EDR, Draudu dalībnieki arvien biežāk izmanto Living off the land jeb LOTL (kiberuzbrukuma paņēmiens, kurā kibernoziedznieks izmanto upura sistēmā esošos, likumīgos rīkus, lai uzturētu un attīstītu uzbrukumu) metodes, piemēram, PowerShell,” sacīja Meijers.
Turklāt izspiedējvīrusu dalībnieki pāriet no sarežģītām datu šifrēšanas shēmām uz vienkāršākiem, ienesīgākiem dubultās izspiešanas uzbrukumiem (double extorsion attacks) – dažkārt pat pilnībā atsakoties no šifrēšanas posma.
Pēc Meijersa domām, ziņojuma secinājumiem būtu jākalpo kā atgādinājumam aizsargiem turpināt investēt identitātes drošības risinājumos.
