Raport CrowdStrike dotyczący wykrywania zagrożeń w 2025 r. – część 4: Wykrywanie przeciwników działających w wielu domenach

Współcześni atakujący nie ograniczają się już do jednej domeny. Dzisiejsze włamania obejmują punkty końcowe, tożsamości i środowiska chmurowe, często połączone w ramach tej samej kampanii. Raport z 2025 r. podkreśla, w jaki sposób przeciwnicy coraz częściej łączą te powierzchnie w złożone, wieloetapowe operacje.

Włamania międzydomenowe

Grupy takie jak BLOCKADE SPIDER ilustrują tę ewolucję. Ich kampanie często przebiegają na trzech frontach:

Punkty końcowe → Wdrażanie narzędzi do zbierania danych uwierzytelniających, poruszanie się w poziomie za pomocą narzędzi administracyjnych i zakłócanie działania czujników w celu oślepienia obrońców.

Tożsamości → Naruszanie kont VPN, eskalowanie uprawnień w Active Directory i wykorzystywanie błędnych konfiguracji IAM.

Chmura → Nadużywanie platform SaaS, tworzenie nieuczciwych agentów IAM i ustanawianie trwałości w środowiskach wirtualnych.

Typowe ataki międzydomenowe

Najczęściej stosowane techniki przez operatorów oprogramowania ransomware w 2025 r.:

Zdalne szyfrowanie – Punk Spider, Blockade Spider, Recess Spider

Naruszenie bezpieczeństwa VPN – Vice Spider, Tunnel Spider, Ocular Spider

Ataki na chmurę – Scattered Spider, Chatty Spider

Wykradanie danych uwierzytelniających – nadużywanie platform kopii zapasowych w celu pozyskiwania tajnych danych administracyjnych.

Systemy niezarządzane – Frozen Spider, Tunnel Spider wykorzystujące przeoczone punkty końcowe.

Narzędzia RMM i proxy dla C2 – Scattered Spider, Blockade Spider, Frozen Spider.

Kluczowy trend: Kampanie ransomware ewoluują poza zdarzenia związane z szyfrowaniem. Obecnie łączą one eksfiltrację danych, ruch boczny, kradzież danych uwierzytelniających i trwałość w chmurze w rozszerzone operacje włamaniowe.

Wnioski dotyczące obrony

Obrońcy muszą zapewnić widoczność na wielu poziomach — punktach końcowych, tożsamości i chmurze — a nie tylko na jednym.

Ruch boczny między domenami często odbywa się szybko, co ogranicza czas na reakcję.

Najskuteczniejsze strategie obrony koncentrują się na korelowaniu słabych sygnałów między domenami, a nie na traktowaniu ich w izolacji.

Ta sekcja potwierdza prawdę, z którą często się spotykam: przeciwnicy wykorzystują luki między domenami. Zespoły ds. bezpieczeństwa mogą dobrze zabezpieczać punkty końcowe, ale pozostawiać nieprawidłowo skonfigurowane role tożsamości. Mogą monitorować usługę Active Directory, ale przeoczyć niepożądane działania w środowiskach chmury. Jedynym skutecznym środkiem zaradczym jest zintegrowana ochrona punktów końcowych, systemów tożsamości i środowisk chmury, wraz z proaktywnym wykrywaniem, które przewiduje takie zmiany.

Autor: Sebastian Burgemejster