Хакеры обнаруживают и взламывают уязвимые облачные сервисы за 24 часа

[Artifact]

Злоумышленники скомпрометировали 96% из 80 ханипотов Postgres всего за 30 секунд.

Злоумышленники постоянно сканируют интернет на предмет незащищенных сервисов, которые могут быть использованы для доступа к внутренним сетям или выполнения вредоносных действий. Специалисты подразделения Unit 42 компании Palo Alto Networks установили 320 приманок с целью узнать, как быстро злоумышленники будут атаковать открытые облачные сервисы. По словам экспертов, 80% из приманок были взломаны менее чем за 24 часа.
Установленные приманки включали устройства с протоколами Remote Desktop Protocol (RDP), Secure Shell (SSH), Server Message Block (SMB) и службами баз данных Postgres и поддерживались с июля по август 2021 года. Ханипоты были развернуты по всему миру, в том числе в Северной Америке, Азиатско-Тихоокеанском регионе и Европе.
Среднее время взлома SSH-приманок, которые оказались наиболее уязвимыми, составило три часа. Между двумя последовательными атаками проходило около 2 часов. Как отметили специалисты, злоумышленники скомпрометировали 96% из 80 приманок Postgres всего за 30 секунд.
Подавляющее большинство (85%) IP-адресов злоумышленников наблюдались в течение одного дня, что указывает на редкое использование хакерами одного и того же IP-адреса снова (15% случаев). Постоянное изменение IP-адреса делает правила межсетевого экрана «уровня 3» неэффективными против большинства злоумышленников.
С большей вероятностью предотвратить атаки поможет блокировка IP-адресов путем извлечения данных из проектов сканирования Сети, которые ежедневно выявляют сотни тысяч вредоносных IP-адресов. Однако Unit 42 проверил эту гипотезу на подгруппе из 48 приманок и обнаружил, что блокировка более 700 тыс. IP-адресов не имеет существенной разницы в количестве атак между подгруппой и контрольной группой.
Для эффективной защиты облачных сервисов Unit 42 рекомендует администраторам создать защиту для предотвращения открытия привилегированных портов, создать правила аудита для мониторинга всех открытых портов и открытых сервисов, создать правила автоматического ответа и исправления ошибок конфигурации, а также установить межсетевые экраны нового поколения (WFA или серии VM).