0
0
A empresa de ciberseguranca Sophos ançou o “Sophos Active Adversary Playbook 2022”, manual que traz detalhes de comportamentos de cibercriminosos observados pela equipe de Rapid Response da companhia em 2021. O estudo aponta um aumento de 36% no tempo de permanência dos atacantes nas redes invadidas – em uma média de 15 dias em 2021, contra 11 dias em 2020.
O manual também revela o impacto das vulnerabilidades do ProxyShell no Microsoft Exchange, que a Sophos acredita que hackers Initial Access Brokers (IABs) aproveitaram para violar redes e depois vender o acesso para outros invasores.
A pesquisa da Sophos também mostra que o tempo de permanência dos invasores foi maior em ambientes de organizações menores. Eles permaneceram por, aproximadamente, 51 dias nos sistemas de companhias com até 250 funcionários, enquanto normalmente passavam 20 dias em empresas com 3 mil a 5 mil colaboradores.
As principais descobertas do manual são:
O tempo médio de permanência dos cibercriminosos antes da detecção foi maior para invasões “furtivas” que não se desdobraram em um grande ataque, como ransomware, e para organizações menores e setores da indústria com menos recursos de segurança de TI. O tempo médio de permanência na rede-alvo para organizações atingidas por ransomware foi de 11 dias. Para aqueles que foram violados, mas ainda não foram afetados por um grande ataque, como ransomware (23% de todos os incidentes investigados), o tempo médio foi de 34 dias. Organizações do setor de educação ou com menos de 500 funcionários também tiveram períodos de permanência mais longos;
Tempos de permanência mais longos e pontos de entrada abertos deixam as organizações vulneráveis a diversos invasores. Algumas evidências apontam que diversos adversários, incluindo IABs, grupos de ransomware, criptomineradores e, ocasionalmente, operadores de ransomware, visavam a mesma organização simultaneamente;
Apesar da queda no uso de Protocolos de Área de Trabalho Remota (RDP) para acesso externo, os invasores aumentaram o uso dessas ferramentas para movimentação lateral interna. Em 2020, os invasores usaram o RDP para atividades externas em 32% dos casos analisados, mas isso diminuiu para 13% em 2021. Embora essa mudança seja positiva e indique que as organizações aprimoraram o gerenciamento de ataques externos, os cibercriminosos ainda se apoiam no RDP para movimentos laterais internos. A Sophos descobriu que eles fizeram uso dessa técnica em 82% dos casos em 2021, ante os 69% registrados em 2020;
As combinações de ferramentas comuns usadas em ataques fornecem um sinal poderoso de alerta da atividade do invasor. Por exemplo, as investigações de incidentes descobriram que, em 2021, o PowerShell e outros scripts maliciosos foram vistos juntos em 64% dos casos; PowerShell e Cobalt Strike foram combinados em 56% das análises e PowerShell e PsExec foram encontrados simultaneamente em 51% dos casos. A detecção dessas correlações pode servir como um aviso antecipado de um ataque iminente ou confirmar a presença de um ataque ativo;
50% dos incidentes de ransomware envolveram exfiltração de dados – e com os dados disponíveis, a diferença média entre o roubo e a implantação do ransomware foi de 4,28 dias. 73% dos incidentes aos quais a Sophos respondeu em 2021 envolveram ransomware. Desses, 50% também continham exfiltração de dados, que geralmente é o último estágio do ataque antes do lançamento do ransomware. As investigações revelaram que a diferença média entre eles era de 4,28 dias;
O Conti foi o grupo de ransomware mais produtivo visto em 2021, respondendo por 18% dos incidentes em geral. O ransomware REvil foi responsável por um em cada 10 incidentes, enquanto outros grupos de ransomware predominantes foram o DarkSide, o RaaS – responsável pelo notório ataque ao Colonial Pipeline, nos EUA – e o Black KingDom, um dos “novos” grupos de ransomware a aparecer em março de 2021, na sequência da vulnerabilidade ProxyLogon. Além disso, 41 criminosos diferentes foram identificados nos 144 incidentes incluídos na análise. Destes, cerca de 28 foram grupos relatados pela primeira vez em 2021. Enquanto isso, 18 grupos de ransomware vistos em incidentes em 2020 desapareceram da lista em 2021.
FONTE: CONVERGENCIA DIGITAL