O tempo médio de permanência do invasor – o tempo desde o início de um ataque até o momento em que é detectado – diminuiu de 10 para oito dias para todos os ataques e para cinco dias para ataques de ransomware durante o primeiro semestre de 2023, de acordo com a Sophos. Em 2022, o tempo médio de permanência diminuiu de 15 para 10 dias.
Obtendo controle do Active Directory
Além disso, o Sophos X-Ops descobriu que levava em média menos de um dia – aproximadamente 16 horas – para que os invasores alcançassem o Active Directory (AD), um dos ativos mais críticos para uma empresa. O AD normalmente gerencia a identidade e o acesso aos recursos em uma organização, o que significa que os invasores podem usar o AD para aumentar facilmente seus privilégios em um sistema para simplesmente fazer login e realizar uma ampla gama de atividades maliciosas.
“Atacar a infra-estrutura do Active Directory de uma organização faz sentido do ponto de vista ofensivo. O AD é geralmente o sistema mais poderoso e privilegiado da rede, proporcionando amplo acesso aos sistemas, aplicações, recursos e dados que os invasores podem explorar em seus ataques. Quando um invasor controla o AD, ele pode controlar a organização. O impacto, a escalada e a sobrecarga de recuperação de um ataque ao Active Directory são o motivo pelo qual ele é o alvo”, disse John Shier , CTO de campo da Sophos.
“Acessar e obter controle do servidor Active Directory na cadeia de ataque oferece diversas vantagens aos adversários. Eles podem permanecer sem serem detectados para determinar seu próximo movimento e, quando estiverem prontos, podem explodir a rede da vítima sem impedimentos”, continuou Shier.
“A recuperação total de um comprometimento de domínio pode ser um esforço demorado e árduo. Tal ataque prejudica a base de segurança da qual depende a infra-estrutura de uma organização. Muitas vezes, um ataque AD bem-sucedido significa que uma equipe de segurança precisa começar do zero.”
Tempo de espera para ataques de ransomware
O tempo de permanência dos ataques de ransomware também diminuiu. Eles foram o tipo de ataque mais prevalente nos casos de resposta a incidentes analisados, representando 69% dos casos investigados, e o tempo médio de permanência desses ataques foi de apenas cinco dias. Em 81% dos ataques de ransomware , a carga final foi lançada fora do horário comercial tradicional e, para aqueles que foram implantados durante o horário comercial, apenas cinco ocorreram em um dia de semana.
O número de ataques detectados aumentou ao longo da semana, principalmente ao examinar ataques de ransomware. 43% dos ataques de ransomware foram detectados na sexta ou no sábado.
“De certa forma, fomos vítimas do nosso próprio sucesso. À medida que cresce a adoção de tecnologias como XDR e serviços como MDR, aumenta também a nossa capacidade de detectar ataques mais rapidamente. A redução dos tempos de detecção leva a uma resposta mais rápida, o que se traduz em uma janela operacional mais curta para os invasores. Ao mesmo tempo, os criminosos têm aperfeiçoado os seus manuais, especialmente os afiliados de ransomware experientes e com bons recursos, que continuam a acelerar os seus ataques barulhentos face a defesas melhoradas.
Mas isso não significa que estamos coletivamente mais seguros. Isto é evidenciado pelo nivelamento dos tempos de permanência não-ransomware. Os invasores ainda estão entrando em nossas redes e, quando o tempo não está pressionando, eles tendem a permanecer. Mas todas as ferramentas do mundo não irão salvá-lo se você não estiver atento.
São necessárias as ferramentas certas e o monitoramento contínuo e proativo para garantir que os criminosos tenham um dia pior do que o seu. É aqui que o MDR pode realmente diminuir a distância entre atacantes e defensores, porque mesmo quando você não está observando, nós estamos”, concluiu Shier.
FONTE: HELP NET SECURITY