Den nya säkerhetsrapporten Threat Spotlight från Barracuda visar hur cyberkriminella tar till beprövad taktik och mycket gamla säkerhetsbrister för att ta sig förbi företagens kontroller. På så sätt kan de få fjärråtkomst till företagens IT-system, installera skadlig programvara, stjäla information, störa eller inaktivera affärsverksamhet genom denial-of-service-attacker och mycket annat.
Resultaten baseras på en analys av tre månaders data från Intrusion Detection Systems (IDS) som används av Barracuda Networks Security Operations Center (SOC). IDS-verktygen avslöjar vilka svagheter som angriparna riktar sig in sig på och vilken taktik de använder.
Inget bäst före-datum för sårbarheter
– Det finns inget bäst före-datum för svagheter i säkerhetssystemen. De ligger kvar och risken är att de med tiden kan bli ännu svårare att lokalisera och avväpna. I stället blir de till djupt inbäddade sårbarheter i ett system eller en applikation. Men som tur är behöver metoden för att komma åt dem varken vara ny eller ens speciellt avancerad, säger Merium Khalid, senior SOC manager, offensive security, Barracuda XDR.
– Det som behövs är en metod med skydd i flera lager och med flera nivåer av djupgående granskning. Att veta vilka sårbarheter som gömmer sig i din IT-miljö och vem som kan rikta in sig på dem och hur är avgörande – liksom förmågan att svara på och avväpna dessa hot, fortsätter han.
Datanalysen upptäckte bland annat:
Angripare som försöker få fjärrkontroll över sårbara system genom att använda en taktik från 2008 där en felkonfigurerad webbserver gör det möjligt att komma åt data som applikationskod eller känsliga operativsystemfiler.
En annan taktik från 2003 som utformats för fjärråtkomst och innebär att specialutvecklad skadlig kod injiceras under en legitim process. Angriparen får åtkomst till känslig data, kan ändra processer och skicka instruktioner till operativsystemet.
Angripare som försöker få tag på känslig information genom att rikta in sig på sårbara servrar för att få lösenord eller listor över användare, eller genom att missbruka en legitim process för att ta reda på hur många datorer i ett nätverk som har en aktiv IP-anslutning. Det kan sedan användas för att planera och förbereda en större attack.
