0
0
A Sophos lançou o Active Adversary Playbook 2022, detalhando os comportamentos de atacantes que a equipe de Resposta Rápida da Sophos viu na natureza em 2021. Os resultados mostram um aumento de 36% no tempo de permanência, com um tempo médio de permanência do intruso de 15 dias em 2021 versus 11 dias em 2020.
O relatório também revela o impacto das vulnerabilidades ProxyShell no Microsoft Exchange, que a Sophos acredita que alguns Corretores de Acesso Inicial (IABs) aproveitaram para violar redes e, em seguida, vender esse acesso a outros atacantes.
“O mundo do crime cibernético tornou-se incrivelmente diversificado e especializado. Os IABs desenvolveram uma indústria de crimes cibernéticos cottage violando um alvo, fazendo reconhecimento exploratório ou instalando um backdoor e, em seguida, vendendo o acesso chave na mão a gangues de ransomware para seus próprios ataques”, disse John Shier, consultor sênior de segurança da Sophos.
“Neste cenário de ameaças cibernéticas cada vez mais dinâmico e especializado, pode ser difícil para as organizações acompanharem as ferramentas e abordagens em constante mudança que os atacantes usam. É vital que os defensores entendam o que procurar em todas as etapas da cadeia de ataque, para que possam detectar e neutralizar ataques o mais rápido possível.”
A pesquisa também mostra que o tempo de permanência do intruso foi maior em ambientes de organizações menores. Os atacantes permaneceram por aproximadamente 51 dias em organizações com até 250 funcionários, enquanto normalmente passavam 20 dias em organizações com 3.000 a 5.000 funcionários.
“Os atacantes consideram as organizações maiores mais valiosas, então eles estão mais motivados a entrar, conseguir o que querem e sair. Organizações menores têm menos “valor” percebidos, para que os atacantes possam se dar ao luxo de se esconder pela rede em segundo plano por um período mais longo. Também é possível que esses atacantes tenham menos experiência e precisassem de mais tempo para descobrir o que fazer quando estivessem dentro da rede. Por fim, as organizações menores geralmente têm menos visibilidade ao longo da cadeia de ataque para detectar e ejetar atacantes, prolongando sua presença”, disse Shier.
“Com as oportunidades das vulnerabilidades ProxyLogon e ProxyShell não corrigidas e o aumento dos IABs, estamos vendo mais evidências de vários atacantes em um único alvo. Se estiver lotado dentro de uma rede, os atacantes vão querer se mover rapidamente para vencer a concorrência.”
Principais descobertas adicionais
O tempo médio de permanência do atacante antes da detecção foi maior para intrusões “stealth” que não se desdobraram em um grande ataque, como ransomware, e para organizações menores e setores da indústria com menos recursos de segurança de TI. O tempo médio de permanência para as organizações atingidas por ransomware foi de 11 dias. Para aqueles que foram violados, mas ainda não foram afetados por um grande ataque, como ransomware (23% de todos os incidentes investigados), o tempo médio de permanência foi de 34 dias. Organizações do setor educacional ou com menos de 500 funcionários também tiveram tempos de permanência mais longos.
Tempos de permanência mais longos e pontos de entrada abertos deixam as organizações vulneráveis a vários atacantes. Evidências forenses descobriram casos em que vários adversários, incluindo IABs, gangues de ransomware, criptomineradores e, ocasionalmente, até mesmo vários operadores de ransomware, estavam visando a mesma organização simultaneamente.
Apesar de uma queda no uso do Remote Desktop Protocol (RDP) para acesso externo, os atacantes aumentaram o uso da ferramenta para movimento lateral interno. Em 2020, os atacantes usaram o RDP para atividade externa em 32% dos casos analisados, mas isso diminuiu para 13% em 2021. Embora essa mudança seja uma mudança bem-vinda e sugira que as organizações melhoraram seu gerenciamento de superfícies de ataque externas, os atacantes ainda estão abusando do RDP para o movimento lateral interno. A Sophos descobriu que os atacantes usaram o RDP para movimento lateral interno em 82% dos casos em 2021, acima de 69% em 2020.
Combinações comuns de ferramentas usadas em ataques fornecem um poderoso sinal de alerta de atividade intruso. Por exemplo, as investigações de incidentes descobriram que, em 2021, o PowerShell e os scripts maliciosos não do PowerShell foram vistos juntos em 64% dos casos; o PowerShell e o Cobalt Strike combinados em 56% dos casos; e o PowerShell e o PsExec foram encontrados em 51% dos casos. A detecção de tais correlações pode servir como um aviso antecipado de um ataque iminente ou confirmar a presença de um ataque ativo.
Cinquenta por cento dos incidentes de ransomware envolveram exfiltração de dados confirmada – e com os dados disponíveis, a diferença média entre o roubo de dados e a implantação de ransomware foi de 4,28 dias. Setenta e três por cento dos incidentes que a Sophos respondeu em 2021 envolveram ransomware. Desses incidentes de ransomware, 50% também envolveram exfiltração de dados. A exfiltração de dados é muitas vezes o último estágio do ataque antes do lançamento do ransomware, e as investigações do incidente revelaram que a diferença média entre eles era de 4,28 dias e a mediana era de 1,84 dias.
Conti foi o grupo de ransomware mais prolífico visto em 2021, respondendo por 18% dos incidentes em geral. O ransomware REvil foi responsável por um em cada 10 incidentes, enquanto outras famílias de ransomware prevalentes incluíram o DarkSide, o RaaS por trás do notório ataque ao Colonial Pipeline nos EUA e o Black KingDom, uma das “novas” famílias de ransomware que aparecerão em março de 2021 na sequência da vulnerabilidade ProxyLogon. Houve 41 adversários diferentes de ransomware identificados nos 144 incidentes incluídos na análise. Destes, cerca de 28 foram novos grupos relatados pela primeira vez durante 2021. Dezoito grupos de ransomware vistos em incidentes em 2020 desapareceram da lista em 2021.
“As bandeiras vermelhas que os defensores devem procurar incluem a detecção de uma ferramenta legítima, combinação de ferramentas ou atividade em um local inesperado ou em um momento incomum”, disse Shier.
“Vale a pena notar que também pode haver momentos de pouca ou nenhuma atividade, mas isso não significa que uma organização não tenha sido violada. É provável que haja, por exemplo, que haja muito mais violações ProxyLogon ou ProxyShell atualmente desconhecidas, onde shells e backdoors da web foram implantados em alvos para acesso persistente e agora estão sentados silenciosamente até que esse acesso seja usado ou vendido.
“Os delinquentes precisam estar em alerta para quaisquer sinais suspeitos e investigar imediatamente. Eles precisam corrigir bugs críticos, especialmente aqueles em software amplamente utilizado, e, como prioridade, reforçar a segurança dos serviços de acesso remoto. Até que os pontos de entrada expostos sejam fechados e tudo o que os atacantes fizeram para estabelecer e manter o acesso seja completamente erradicado, praticamente qualquer um pode entrar atrás deles, e provavelmente o fará.”
FONTE: HELPNET SECURITY