Dwell time rata-rata untuk perusahaan-perusahaan yang terkena ransomware adalah 11 hari. Bagi mereka yang telah disusupi, tetapi belum terpengaruh oleh serangan besar, seperti ransomware (23% dari semua insiden yang diselidiki), mengalami dwell time rata-rata selama 34 hari. Perusahaan-perusahaan di sektor pendidikan atau dengan karyawan kurang dari 500 juga memiliki dwell time yang lebih lama Dengan dwell time yang lebih lama dan keadaan titik masuk yang terbuka membuat organisasi-organisasi rentan terhadap banyak penyerang. Bukti forensik mengungkap contoh di mana beberapa musuh, termasuk IAB, grup ransomware, cryptominers, dan kadang-kadang bahkan beberapa operator ransomware, menargetkan secara bersamaan organisasi-organisasi yang sama Meskipun terjadi penurunan pada penggunaan Remote Desktop Protocol (RDP) untuk melakukan akses eksternal, namun para penyerang meningkatkan penggunaan alat untuk internal lateral movement. Pada tahun 2020, para penyerang menggunakan RDP untuk aktivitas eksternal di 32% kasus yang dianalisis, tetapi ini menurun menjadi 13% pada tahun 2021.
Meskipun perubahan ini merupakan perubahan yang disambut baik dan menyarankan perusahaan-perusahaan untuk meningkatkan manajemen serangan eksternal, para penyerang masih menyalahgunakan RDP untuk internal lateral movement. Sophos menemukan bahwa penyerang menggunakan RDP untuk internal lateral movement pada 82% kasus pada tahun 2021, naik dari 69% pada 2020 Dengan menggunakan kombinasi alat umum dalam serangan untuk memberikan sinyal peringatan yang kuat tentang aktivitas penyusup. Misalnya, investigasi insiden menemukan bahwa pada tahun 2021 PowerShell dan skrip non-PowerShell yang berbahaya dapat terlihat bersama di 64% kasus; PowerShell dan Cobalt Strike digabungkan dalam 56% kasus; dan PowerShell dan PsExec ditemukan pada 51% kasus. Dengan deteksi korelasi yang dilakukan tersebut dapat berfungsi sebagai peringatan dini dari serangan yang akan datang atau mengkonfirmasi adanya serangan aktif
Lima puluh persen insiden ransomware melibatkan data exfiltration yang telah terkonfirmasi – dan dengan data yang tersedia, kesenjangan rata-rata yang terjadi antara pencurian data dan penyebaran ransomware adalah 4,28 hari. Tujuh puluh tiga persen insiden yang ditanggapi Sophos pada tahun 2021 melibatkan ransomware. Dari insiden ransomware ini, 50% juga melibatkan data exfiltration.
Data exfiltration sering kali merupakan tahap terakhir serangan sebelum ransomware dirilis, dan investigasi insiden mengungkapkan kesenjangan rata-rata di antara mereka adalah 4,28 hari dan median adalah 1,84 hari Conti adalah grup ransomware paling produktif yang terlihat pada tahun 2021, terhitung 18% dari insiden yang terjadi secara keseluruhan. Ransomware REvil menyumbang satu dari 10 insiden, sementara ransomware umum lainnya termasuk DarkSide, RaaS di balik serangan terkenal terhadap Colonial Pipeline di AS dan Black KingDom, salah satu ransomware "baru" yang muncul pada Maret 2021 setelah terjadinya kerentanan pada ProxyLogon.
Ada 41 ransomware berbeda yang teridentifikasi di 144 insiden yang termasuk dalam analisis. Dari jumlah tersebut, sekitar 28 insiden adalah grup baru yang pertama kali dilaporkan selama tahun 2021. Sebanyak delapan belas grup ransomware yang terlihat dalam insiden pada tahun 2020 telah menghilang dari daftar pada tahun 2021 “Tanda-tanda berbahaya yang harus diwaspadai oleh para penjaga keamanan termasuk pendeteksian menggunakan alat yang legal, menggunakan kombinasi alat, atau aktivitas di tempat yang tidak terduga atau pada waktu yang tidak biasa,” kata Shier.
Sophos Active Adversary Playbook 2022 didasarkan pada 144 insiden yang terjadi pada tahun 2021, dengan menargetkan perusahaan-perusahaan dari semua ukuran di berbagai sektor industri, dan berlokasi di AS, Kanada, Inggris, Jerman, Italia, Spanyol, Prancis, Swiss, Belgia, Belanda, Austria, Uni Emirat Arab, Arab Saudi, Filipina, Bahama, Angola, dan Jepang. Sektor-sektor yang paling terwakili adalah manufaktur (17%), diikuti oleh ritel (14%), kesehatan (13%), IT (9%), konstruksi (8%), dan pendidikan (6%).
Tujuan dari laporan Sophos adalah membantu tim keamanan perusahaan untuk memahami apa yang dilakukan para penyerang selama serangan dan bagaimana mengenali dan mempertahankan diri dari aktivitas-aktiviatas yang berbahaya di jaringan. Untuk mempelajari lebih lanjut tentang perilaku, alat, dan teknik para penyerang, baca Sophos Active Adversary Playbook 2022 di Sophos News.