A Sophos lançou o “Active Adversary Playbook 2021“, detalhando os comportamentos dos cibercriminosos, suas táticas, técnicas e procedimentos mais comuns (TTPs) que os investigadores de ameaças da linha de frente da Sophos e os responsáveis pela resposta a incidentes viram em 2020 — os dados de detecção de TTP também cobrem o início de 2021.
As descobertas mostram que o tempo médio de permanência do invasor antes da detecção foi de 11 dias — ou 264 horas — e aponta que a maior infiltração não detectada levou 15 meses. O ransomware apareceu em 81% dos incidentes e 69% dos ataques que envolveram o uso do protocolo de desktop remoto (RDP) para movimento lateral dentro da rede.
O manual é baseado nas observações da Sophos, bem como em 81 investigações de incidentes e percepções da equipe Sophos Managed Threat Response (MTR) e Sophos Rapid Response de respondentes a incidentes. O objetivo é ajudar as equipes de segurança a entender o que os cibercriminosos fazem durante os ataques e como detectar e se defender contra atividades nocivas em sua rede.
“O cenário de ameaças está se tornando mais congestionado e complexo, com ataques lançados por cibercriminosos com uma ampla gama de habilidades e recursos, que vão desde script kiddies até grupos de ameaças apoiados por Estados-nação. Isso pode tornar a vida um desafio para os defensores”, conta John Shier, Consultor de Segurança Sênior da Sophos.
As principais descobertas do manual são:
• O tempo médio de permanência do invasor na rede de destino antes da detecção foi de 11 dias — para colocar isso em contexto, 11 dias potencialmente oferecem aos invasores 264 horas para atividades maliciosas, como movimento lateral, reconhecimento, despejo de credenciais, exfiltração de dados e muito mais. Considerando que algumas dessas atividades podem levar apenas alguns minutos ou algumas horas para serem implementadas — muitas vezes ocorrendo à noite ou fora do horário de trabalho padrão — esses 11 dias permitem aos invasores tempo suficiente para causar danos à rede de uma organização. Também é importante destacar que os ataques de ransomware tendem a ter um tempo de permanência mais curto do que os ataques “furtivos”, porque eles são totalmente voltados para a destruição;
• 90% dos ataques vistos envolveram o uso de protocolo de área de trabalho remota (RDP) – e em 69% de todos os casos, os invasores usaram RDP para movimento lateral interno – medidas de segurança para RDP, como VPNs e autenticação multifator, tendem a se concentrar em proteger o acesso externo. No entanto, eles não funcionam se o invasor já estiver dentro da rede. O uso de RDP para movimento lateral interno é cada vez mais comum assim como os que envolvem ransomware;
• Correlações interessantes surgem entre as cinco principais ferramentas encontradas nas redes de vítimas – Por exemplo, quando o PowerShell é usado em um ataque, Cobalt Strike é visto em 58% dos casos, PsExec em 49%, Mimikatz em 33% e GMER em 19%. Cobalt Strike e PsExec são usados juntos em 27% dos ataques, enquanto Mimikatz e PsExec ocorrem juntos em 31% dos casos. Por último, a combinação de Cobalt Strike, PowerShell e PsExec aparece em 12% de todos os ataques. Essas correlações são importantes porque sua detecção pode servir como um aviso prévio de um ataque iminente ou confirmar a presença de um ataque ativo;
• O ransomware esteve envolvido em 81% dos ataques investigados pela Sophos – O lançamento de ransomware costuma ser o ponto em que um ataque se torna visível para uma equipe de segurança de TI. Portanto, não é de se surpreender que a vasta maioria dos incidentes aos quais a Sophos respondeu envolvesse ransomware. Outros tipos de ataque que a Sophos investigou incluíram apenas exfiltração, criptominadores, cavalos de Troia bancários, limpadores, conta-gotas, ferramentas de teste de intrusão/ataque e muito mais.
“Com os cibercriminosos passando em média 11 dias na rede, implementando seu ataque enquanto se misturam à atividade de TI de rotina, é fundamental que os defensores entendam os sinais de alerta para procurar e investigar. Uma das maiores bandeiras vermelhas, por exemplo, é quando uma ferramenta ou atividade legítima é detectada em um lugar inesperado. Acima de tudo, os defensores devem se lembrar que a tecnologia pode fazer muito, mas no cenário de ameaças de hoje, pode não ser suficiente por si só. A experiência humana e a capacidade de resposta são uma parte vital de qualquer solução de segurança”, explica John Shier.
Outros tópicos abordados no manual incluem as táticas e técnicas com maior probabilidade de sinalizar uma ameaça ativa e garantir uma investigação mais detalhada, os primeiros sinais de ataque, os escalonamentos mais amplamente vistos, os tipos de ameaças e tecnologias criminosas, os grupos invasores mais prevalentes vistos e muito mais.
