A SOPHOS, empresa líder mundial em soluções de cibersegurança, lançou o “Active Adversary Playbook 2022” onde expõe detalhadamente os comportamentos, táticas e ferramentas de invasores cibernéticos vistos na linha da frente de resposta a incidentes em 2021.
Com o objetivo de ajudar as equipas de segurança a entender o que os cibercriminosos fazem durante os ataques, e como estas podem identificar e se defender contra um ataque , foi registado através do estudo feito, um aumento de 36% no tempo de permanência dos cibercriminosos nas redes invadidas, sendo que a média é de cerca de 15 dias em 2021, comparativamente aos 11 dias que se tinha registado de média em 2020.
O relatório revela também, o impacto das vulnerabilidades ProxyShell no Microsoft Exchange, que a Sophos acredita que alguns agentes de acesso inicial (Initial Access Brokers – IABs) aproveitaram para violar redes e depois vender esse acesso a outros invasores.
“O universo dos crimes cibernéticos hoje é muito diverso e especializado. Os IABs desenvolveram uma nova indústria caseira para esse tipo de crime, em que violam alvos, fazem um reconhecimento exploratório ou instalam um backdoor e, em seguida, vendem o acesso imediato a grupos de ransomware que realizam seus próprios ataques”, explica John Shier.
A investigação feita pela Sophos também indica que o tempo de permanência dos intrusos foi mais elevado em ambientes de organizações com uma dimensão menor. Os cibercriminosos permaneceram por aproximadamente 51 dias em organizações com até 250 colaboradores, e em média 20 dias em organizações com 3 mil a 5 mil colaboradores.
“Os invasores consideram as organizações maiores mais valiosas, por isso estão mais motivadas para as invadir, conseguir o que querem e sair. As organizações menores têm menos valor reconhecido, pelo que eles podem dar-se ao luxo de se esconder na rede em segundo plano por períodos mais longos. Também é possível que os invasores fossem menos experientes e precisassem de mais tempo para perceber o que fazer quando estivessem dentro da rede. Por fim, as organizações de menor dimensão normalmente têm menos visibilidade ao longo da cadeia de ataque para detetar e expulsar os invasores, permitindo a estes prolongar a sua presença”, comenta John Shier.
“Com oportunidades proporcionadas pelas vulnerabilidades ProxyLogon e ProxyShell sem patches e o aparecimento de IABs, estamos a registar mais evidências de vários invasores numa única vítima. Se o panorama dentro de uma rede estiver lotado, os invasores vão querer mover-se rapidamente para vencer a concorrência”
As principais conclusões retiradas do Active Adversary Playbook 2022 pela SOPHOS englobam:
O tempo médio de permanência dos atacantes antes da deteção foi mais longo em intrusões “furtivas” que ainda não tinham evoluído para ataques como ransomware, e em organizações de menor dimensão e setores da indústria com menos recursos de segurança de TI.
Tempos de permanência mais longos e pontos de entrada abertos deixam as organizações vulneráveis a múltiplos atacantes.
Apesar de uma quebra na utilização do Remote Desktop Protocol (RDP) para acesso externo, os invasores aumentaram a utilização da ferramenta para movimentação lateral interna.
As combinações comuns de ferramentas utilizadas nos ataques são um poderoso sinal de alerta da atividade de intrusos.
Metade (50%) dos incidentes de ransomware envolveu exfiltração de dados confirmada – e, com os dados disponíveis, o intervalo médio entre o roubo de dados e a implementação do ransomware foi de 4.28 dias.
A Conti foi o grupo de ransomware mais prolífico em 2021, sendo responsável por 18% dos incidentes em geral.