リモートWindowsシステムへの資格情報スタッフィング攻撃は2021年に始まり、Robert Lemos、寄稿者

https://www.darkreading.com/endpoint/credential-stuffing-attacks-on-remote-windows-systems-took-off-in-2021
新しいデータによると、攻撃者はますますリモートWindowsシステムを標的にしており、リモートデスクトッププロトコル(RDP)を実行しているシステムに対する資格情報の詰め込み攻撃が急増しています。
今週ESETが発表したレポートによると、パスワードベースの攻撃はヨーロッパ諸国、特にスペイン、イタリア、フランス、ドイツに最も大きな打撃を与え、2021年にESETによって検出された2880億のRDP攻撃のうち1160億を占めています。
合計で、資格情報の詰め込みやその他のパスワードベースの攻撃が、外部ネットワーク侵入ベクトルの46%を占めました。
このような攻撃に焦点を当てることは、企業がリモートアクセス可能なサービスの適切なセットアップとパッチ適用、および強力なパスワード、多要素認証、セキュリティ製品の多層などの適切な保護手段の使用を確実にする必要があることを意味します、とセキュリティ研究のOndrejKubovičは言いますESETの意識向上スペシャリスト。
「劇的に変化したのは、パスワード推測攻撃の規模です」と彼は言います。
「ペンテスター、内部セキュリティ、犯罪者、高度な脅威アクターなど、パスワードを推測する能力を高め、パスワードとユーザー名の正しい組み合わせに到達して初期アクセスを取得する可能性を高めているグループが存在します。 「」 リモートワーク公開されたクレデンシャル組織の従業員がリモートワークに移動し、多くの人が自宅で仕事を続けていることを考えると、攻撃者がデフォルトまたは盗まれたクレデンシャルを使用してリモートおよびクラウドサービスにログインすることに焦点を当てていることは驚くべきことではありません。Kubovičによると、唯一の良いニュースは、企業がクレデンシャル、リモートサービス、およびクラウドアプリケーションのセキュリティを向上させたことです。「これらの驚異的な数のブルートフォース攻撃を報告するユニークなデバイスの数は、2021年を通して停滞しました[そして]第3期には少しさえ減少しました」と彼は言います。 「これは、組織がリモートでアクセス可能な新しいシステムを公開していないことを示しているようですが、すでに到達可能なシステムはますます勢いを増しています」RDP攻撃は9倍に急増しましたが、2021年の後半4か月に焦点を当て、年間の情報を要約したレポートによると、2021年に検出されたすべての脅威の量は16%減少しました。レポートによると、ランサムウェアの脅威とWebの脅威の量はそれぞれ半分近く減少し、ダウンローダーは約40%減少しました。ただし、フィッシングやトロイの木馬などの電子メールの脅威は145%増加しました。フィッシング攻撃では、偽造医薬品や完全な受信トレイのリマインダーなどの人気のあるテーマが使用され、日本、フランス、米国が氾濫しました。「フィッシングは5月以降継続的に成長しており、リモートワークやさまざまなストリーミングおよびメディアプロバイダーに使用されるプラットフォームなど、人気のあるオンラインおよびクラウドサービスのユーザーをターゲットにすることが増えています」とESETの脅威検出ラボの責任者であるJiříKropáčはレポートで述べています。 「2022年も、現在のトレンドに基づいて、大きなブランド名を活用したキャンペーンや、小規模な機会主義的なキャンペーンに直面し続けます。」このレポートは、ESETがテレメトリから収集したデータに基づいていますが、ESETの研究者であるMathieu Tartare氏は、良性のスキャンを研究者から、悪意のあるスキャンを攻撃者から分離する方法が常にあるとは限りません。多くの場合、スキャンは攻撃者の偵察の一部であり、潜在的に脆弱なシステムのリストを作成するのに役立ちます。ただし、人気のあるProxyShellエクスプロイトを使用したMicrosoft Exchangeサーバーに対するスキャンなど、場合によっては、アクティビティが悪意のあるものまたは無害なものとして分類されることがあります。「私たちは(通常)研究者、侵入テスト、サイバー犯罪グループ、またはAPTグループがスキャンを実行しているかどうかを知る方法がありません」と彼は言います。 「ただし、スキャンアクティビティではなく悪用の試みを検討する場合、ProxyShellの場合、一部のブロックされたWebシェルまたは最初のステージが特定のAPTグループによって使用されるため、攻撃の原因を特定し、調査や侵入テストのアクティビティを除外できます。」 Log4Shell懸念される傾向の1つは、攻撃者が最新の脆弱性とエクスプロイトを適応させる速度です、とKubovičは言います。攻撃者は、たとえば数週間のうちにLog4Shellエクスプロイトの使用を開始したため、多くの企業が脆弱になりました。「2021年に私が目立った1つのポイントは、サイバー犯罪者とAPTグループが最近公開された重大な脆弱性をいかに迅速に悪用したかということでした」と彼は言います。 「したがって、2022年に企業がさらに注力すべきことの1つは、ネットワーク内のすべてのデバイスとシステムを確実に可視化し、すべてにパッチを適用しておくことです。これは非常に難しいことです。」

コメント

タイトルとURLをコピーしました