Os ataques utilizando aplicativos confiáveis, conhecidos como “living off the land” (LOLbins), cresceram 51% no primeiro semestre de 2024 em comparação ao mesmo período de 2023, segundo o relatório The Bite from Inside: The Sophos Active Adversary Report. Desde 2021, o aumento acumulado foi de 83%.
O estudo da Sophos, baseado em quase 200 casos de resposta a incidentes (IR) e análises da equipe de Detecção e Resposta Gerenciada (MDR), revelou que invasores estão explorando ferramentas legítimas do Windows, como o protocolo de área de trabalho remota (RDP). Esse aplicativo foi explorado em 89% dos incidentes analisados.
“O Living-off-the-land oferece não apenas sigilo para as atividades de um invasor, mas também um endosso discreto de seus movimentos. […] Sem uma conscientização contextual e detalhada, […] as equipes de TI atuais correm o risco de não perceber as principais atividades de ameaças que muitas vezes levam ao ransomware”, destacou John Shier, CTO de campo da Sophos.
Mesmo com esforços governamentais para desestabilizar a infraestrutura do grupo LockBit, este foi responsável por 21% das invasões documentadas no período. Esse percentual reforça a liderança do grupo em ataques de ransomware, apesar das adversidades enfrentadas.
Principais descobertas do relatório
Além do destaque para os LOLbins, o relatório apresentou outros dados relevantes:
- Credenciais comprometidas lideram ataques: representaram 39% dos incidentes, embora em queda em relação aos 56% de 2023.
- Violações de redes prevalecem no MDR: os ataques a redes dominaram os casos analisados pela equipe de Detecção e Resposta Gerenciada da Sophos.
- Tempos de permanência menores no MDR: enquanto os ataques demoraram cerca de oito dias para serem detectados pela equipe de IR, no MDR esse tempo caiu para um dia em incidentes gerais e três dias em casos de ransomware.
- Servidores Active Directory (AD) fora de suporte são alvos frequentes: versões comprometidas, como 2019, 2016 e 2012, estão próximas do fim da vida útil, dificultando a aplicação de patches de segurança sem suporte pago da Microsoft.
O relatório evidencia como os cibercriminosos estão sofisticando suas técnicas e explorando lacunas em ferramentas amplamente usadas no ambiente corporativo. Para saber mais detalhes, o relatório completo está disponível no site da Sophos.
