A Sophos anunciou o lançamento de um relatório que detalha a principal maneira que ocorrem os incidentes de cibersegurança. Segundo o Sophos Active Adversary Report, a maioria (56%) dos atacantes tiveram acesso inicial às redes explorando serviços remotos externos, o que inclui dispositivos de borda, como firewalls e VPNs, utilizando contas válidas.
A pesquisa descobriu o comportamento e as técnicas dos invasores em mais de 400 casos de Detecção e Resposta Gerenciada (MDR) e Resposta a Incidentes (IR) em 2024. A combinação de serviços remotos externos e contas válidas está alinhada com as causas primordiais dos ataques.
No relatório, as credenciais comprometidas foram a principal origem das invasões (41% dos casos), seguido por exploração de vulnerabilidades (21,79%) e ameaças de força bruta (21,07%).
E ao estudar as investigações de MDR e IR, a equipe do Sophos X-Ops analisou os casos de ransomware, extração e extorsão de dados para identificar a rapidez com que os invasores progrediram pelos estágios de um ataque dentro de uma organização.
Nesses três tipos de casos, o tempo médio entre o início e a extração foi de apenas 72,98 horas, equivalente a 3,04 dias. Além disso, os dados apontaram uma média de apenas 2,7 horas entre a obtenção do arquivo e a detecção da ameaça.
Outro fator importante, levantado na pesquisa, foi que os invasores podem assumir o controle de um sistema em apenas 11 horas. Esse é o tempo médio entre a ação inicial dos atacantes e sua primeira tentativa, muitas vezes bem-sucedida, de violar o Active Directory (AD) . Se concluídos com êxito, os invasores poderiam assumir o controle da organização com mais facilidade.
A Sophos, responsável pela produção do relatório, recomendou que algumas medidas fossem implantadas como bloquear portas RDP expostas, usar autenticação multifatorial (MFA) resistente a phishing e fazer o patch dos sistemas vulneráveis em tempo hábil, com foco especial nos dispositivos e serviços voltados para a Internet.
Além disso, reforçou como importante a implantação de EDR ou MDR, garantindo também sua monitoração 24 horas por dia, sete dias por semana. A organização afirmou que é preciso estabelecer um plano abrangente de resposta a incidentes e testá-lo regularmente por meio de simulações ou tabletops.
