A Sophos lançou o estudo “Active Adversary Report for Tech Leaders 2023”, que analisa em profundidade os comportamentos e ferramentas usados por criminosos no primeiro semestre de 2023. De acordo com insights do Sophos Incident Response (IR), um serviço especializado em identificação e neutralização imediata de ameaças, a equipe do Sophos X-Ops trouxe à luz que o tempo médio no qual invasores mantêm acesso diminuiu, passando de 10 para 8 dias desde o início até a detecção de ataques diversos. Essa tendência também foi observada em casos de ataques de ransomware, com o tempo diminuindo para 5 dias. No ano de 2022, já havia sido notada uma redução de 15 para 10 dias no tempo médio de permanência dos invasores.
Além das constatações anteriores, a equipe do Sophos X-Ops observou que, em média, o acesso dos invasores ao Active Directory (AD), uma das ferramentas vitais para as empresas, ocorre em menos de um dia – cerca de 16 horas. O Active Directory é frequentemente responsável por administrar identidades e acesso aos recursos organizacionais, permitindo que invasores acessem informações valiosas do sistema, efetuem logins e conduzam diversas atividades maliciosas.
“Atacar a infraestrutura do AD de uma companhia faz sentido do ponto de vista ofensivo, afinal, ele é geralmente o sistema mais poderoso e privilegiado da rede, pois fornece amplo acesso a aplicativos, recursos e dados que os invasores podem explorar nos ataques. Quando os cibercriminosos têm poder sobre o AD, podem controlar toda a organização. O impacto, o escalonamento e a sobrecarga de recuperação de um ataque desse tipo são os motivos pelos quais esse servidor costuma ser o alvo”, explica John Shier, CTO de campo da Sophos.
“Acessar e obter controle da estrutura AD na cadeia de ataque oferece diversas vantagens aos invasores. Eles podem permanecer sem ser detectados para escolher o próximo movimento e, quando prontos, podem explorar a rede da vítima sem impedimentos. Por isso, a recuperação total de um domínio comprometido pode ser um esforço demorado e árduo. Tal incidente prejudica a base de segurança da qual a infraestrutura de uma organização depende e, muitas vezes, um ataque bem-sucedido ao AD significa que uma equipe de segurança precisa começar do zero”, completa o executivo.
Conforme indicado pela pesquisa da Sophos, houve também uma redução no tempo de permanência em incidentes relacionados a ransomware. Este tipo de ataque foi o mais frequente nas análises realizadas, abrangendo 69% das investigações. O período médio de permanência durante esses ataques foi significativamente reduzido para meros cinco dias. Notavelmente, em 81% dos casos que envolviam ransomware, a fase final do ataque ocorreu fora do horário comercial. Aqueles que foram executados durante o horário de trabalho raramente aconteceram em dias úteis.
A detecção de ataques continuou a crescer ao longo dos dias da semana, especialmente quando se tratava de ataques que incluíam ransomware. Quase a metade (43%) desses ataques foram descobertos nas sextas-feiras ou sábados.
“De certa forma, temos sido vítimas do nosso próprio sucesso. À medida que a adoção de tecnologias como o XDR e serviços como o MDR cresce, também aumenta a nossa capacidade de detectar ataques mais cedo. A redução dos tempos de detecção leva a uma resposta mais rápida, o que se traduz em um intervalo mais curto. Ao mesmo tempo, os criminosos têm aprimorado suas táticas, especialmente os grupos de ransomware experientes e com bons recursos, que continuam a acelerar os ataques diante de melhores defesas. Entretanto, isso não significa que estamos coletivamente mais seguros – ponto evidenciado pelo nivelamento dos tempos de permanência de ataques que não são de ransomware. Os invasores ainda estão entrando nas redes e, quando não há limite de tempo, eles tendem a demorar. Tal cenário mostra como é indispensável estar atento, com recursos e monitoramento proativo contínuo, para garantir que os criminosos sejam parados. São em casos como esses que ferramentas como o MDR podem realmente fechar a lacuna entre atacantes e defensores pois, mesmo que as empresas não estejam os observando, fornecedores de cibersegurança, como a Sophos, estão”, finaliza Shier.
O relatório “Active Adversary Report for Tech Leaders 2023” é baseado nas investigações de resposta a incidentes (IR) da Sophos e 25 setores ao redor do mundo, de janeiro a julho de 2023. As organizações-alvo estão localizadas em 33 países diferentes, em seis continentes. 88% dos casos vieram de organizações com menos de mil funcionários.
