0
0
Os atacantes estão ficando mais rápidos. Uma nova pesquisa revela que eles economizaram mais alguns minutos do tempo necessário para fazer a transição do acesso inicial a um sistema para a tentativa de atacar outros dispositivos na mesma rede.
CrowdStrike encontra a intrusão média necessária 79 minutos após o comprometimento inicial antes de lançar um ataque a outros sistemas em uma rede. Isso caiu de 84 minutos em 2022. O relatório de caça a ameaças de 2023 da CrowdStrike, publicado na terça-feira, também revela que o tempo mais rápido foi de sete minutos entre o acesso inicial e as tentativas de estender o comprometimento, com base em mais de 85.000 incidentes processados em 2022.
O principal objetivo de um invasor é mover-se para outros sistemas e estabelecer uma presença na rede, para que, mesmo que os respondentes do incidente coloquem o sistema original em quarentena, o invasor ainda possa voltar, diz Param Singh, vice-presidente do serviço de segurança OverWatch da CrowdStrike. Além disso, os invasores querem obter acesso a outros sistemas por meio de credenciais de usuário legítimas, diz ele.
“Se eles se tornarem o controlador de domínio, o jogo terminará e eles terão acesso a tudo”, diz Singh. “Mas se eles não puderem se tornar administradores de domínio, eles irão atrás de indivíduos-chave que tenham melhor acesso a ativos [valiosos]… e tentarão aumentar seus privilégios para esses usuários.”
O tempo de interrupção é uma medida da agilidade de um invasor ao comprometer redes corporativas. Outra medida que os defensores usam é o tempo que leva entre o comprometimento inicial e a detecção do invasor, conhecido como tempo de permanência, que atingiu um mínimo de 16 dias em 2022, de acordo com o relatório anual M-Trends da empresa de resposta a incidentes Mandiant . Juntas, as duas métricas sugerem que a maioria dos invasores tira vantagem rapidamente de um comprometimento e tem carta branca por mais de duas semanas antes de ser detectado.
Invasões interativas agora são a norma
Os invasores continuaram sua mudança para invasões interativas, que cresceram 40% no segundo trimestre de 2023, em comparação com o mesmo trimestre do ano anterior, e representam mais da metade de todos os incidentes, de acordo com a CrowdStrike.
A maioria das invasões interativas (62%) envolveu o abuso de identidades legítimas e informações de contas. A coleta de informações de identidade também decolou, com um aumento de 160% nos esforços para “coletar chaves secretas e outros materiais de credenciais”, enquanto a coleta de informações Kerberos de sistemas Windows para posterior cracking, uma técnica conhecida como Kerberoasting, cresceu quase 600%, o O relatório CrowdStrike Threat Hunting afirmou .
Os invasores também estão verificando repositórios onde as empresas publicam acidentalmente material de identidade. Em novembro de 2022, uma organização acidentalmente enviou as credenciais de chave de acesso de sua conta raiz para o GitHub, obtendo uma resposta rápida dos invasores, disse a CrowdStrike.
“Em segundos, scanners automatizados e vários agentes de ameaças tentaram usar as credenciais comprometidas”, afirmou o relatório. “A velocidade com que esse abuso foi iniciado sugere que vários atores de ameaças – em esforços para atingir ambientes de nuvem – mantêm ferramentas automatizadas para monitorar serviços como o GitHub em busca de credenciais de nuvem vazadas”.
Uma vez no sistema, os invasores usam os próprios utilitários da máquina – ou baixam ferramentas legítimas – para escapar da atenção. As chamadas técnicas de ” viver da terra ” impedem a detecção de malware mais óbvio. Sem surpresa, os adversários triplicaram o uso de ferramentas legítimas de gerenciamento remoto e monitoramento (RMM), como AnyDesk, ConnectWise e TeamViewer, de acordo com a CrowdStrike.
Os invasores continuam a se concentrar na nuvem
Como as empresas adotaram a nuvem para grande parte de sua infraestrutura operacional – especialmente após o início da pandemia de coronavírus – os invasores seguiram. A CrowdStrike observou mais ataques “conscientes da nuvem”, com a exploração da nuvem quase dobrando (até 95%) em 2022.
Frequentemente, os ataques se concentram no Linux, porque a carga de trabalho mais comum na nuvem são contêineres Linux ou máquinas virtuais. A ferramenta de escalonamento de privilégios LinPEAS foi usada em três vezes mais invasões do que a próxima ferramenta mais comumente abusada, disse CrowdStrike.
A tendência só vai acelerar, diz Singh da CrowdStrike.
“Estamos vendo agentes de ameaças se tornando mais conscientes da nuvem – eles entendem o ambiente de nuvem e as configurações incorretas normalmente vistas na nuvem”, diz ele. “Mas a outra coisa que estamos vendo é … o agente da ameaça entrando em uma máquina no local e, em seguida, usando as credenciais e tudo para mover para a nuvem … e causar muitos danos.”
Separadamente, a CrowdStrike anunciou que planeja combinar suas equipes de inteligência e caça a ameaças em uma única entidade, o grupo Counter Adversary Operations, informou a empresa em um comunicado à imprensa em 8 de agosto .
FONTE: DARKREADING