Levantamento identificou mais de 500 métodos e técnicas exclusivas, além disso, vulnerabilidades não corrigidas foram as causas mais comuns que permitiram aos invasores obterem acesso inicial aos sistemas visados
A Sophos lançou hoje o Active Adversary Report for Business Leaders, um estudo aprofundado das mudanças de comportamento e técnicas de ataque de cibercriminosos em 2022. O levantamento, que avaliou mais de 150 casos pelo Sophos Incident Response (IR), identificou mais de 500 métodos e técnicas exclusivas, incluindo 118 binários “Living off the Land” (LOLBins).
Ao contrário dos malwares, os LOLBins são executáveis naturalmente encontrados em sistemas operacionais, tornando-os muito mais difíceis de serem bloqueados por defensores quando invasores os exploram em atividades maliciosas.
Além disso, a Sophos descobriu que vulnerabilidades não corrigidas foram as causas mais comuns que permitiram aos invasores obterem acesso inicial aos sistemas visados. Em metade das investigações incluídas no relatório, os cibercriminosos exploraram as falhas ProxyShell e Log4Shell — ambas de 2021 — para se infiltrar nas organizações. A segunda causa mais comum de ataques foram credenciais comprometidas, como dados de usuários e senhas.
“Quando os atacantes de hoje não estão invadindo, estão fazendo login. A realidade é que o ambiente de ameaças cresceu em volume e complexidade, a ponto de não haver lacunas perceptíveis para os defensores concentrarem esforços. Para a maioria das organizações, os dias de fazer isso sozinhos já ficaram para trás. É realmente tudo, em todos os lugares, ao mesmo tempo. No entanto, existem ferramentas e serviços disponíveis que podem aliviar parte da carga das empresas, permitindo que se concentrem em prioridades de negócios”, diz John Shier, CTO de Campo da Sophos.
Mais de dois terços dos incidentes investigados pela equipe de resposta a incidentes da Sophos (68%) envolveram ransomware, deixando claro que essa ainda é uma das principais ameaças para as companhias. Este tipo de ataque também foi responsável por quase três quartos das investigações da Sophos nos últimos três anos.
Embora o ransomware ainda domine o cenário de ameaças, o tempo de permanência dos invasores nos alvos diminuiu em 2022, indo de 15 para 10 dias, considerando todos os tipos de ataques. Para casos envolvendo ransomware especificamente, esse período diminuiu de 11 para nove dias, enquanto a queda foi ainda maior para golpes que não envolvem pagamentos de resgates. Para este último, o tempo que os cibercriminosos permanecem em sistemas-foco caiu de 34 dias em 2021 para apenas 11 dias em 2022. No entanto, ao contrário dos anos anteriores, não houve variação significativa nesse quesito entre organizações ou setores de diferentes portes.
“As organizações que implementaram defesas em camadas com monitoramento constante corretamente estão obtendo melhores resultados em termos de gravidade dos ataques. O efeito colateral de defesas aprimoradas significa que os adversários precisam acelerar para concluir suas invasões e, desta forma, aqueles mais rápidos requerem detecção precoce. A corrida entre atacantes e defensores continuará aumentando e aqueles que não contam com gerenciamento proativo sofrerão as maiores consequências”, explica Shier.
O estudo Active Adversary Report for Business Leaders é baseado em 152 investigações de resposta a incidentes (IR) abrangendo 22 setores em todo o mundo. As organizações visadas ficam em 31 países diferentes, incluindo EUA e Canadá, Reino Unido, Alemanha, Suíça, Itália, Áustria, Finlândia, Bélgica, Suécia, Romênia, Espanha, Austrália, Nova Zelândia, Cingapura, Japão, Hong Kong, Índia, Tailândia, Filipinas, Catar, Bahrein, Arábia Saudita, Emirados Árabes Unidos, Quênia, Somália, Nigéria, África do Sul, México, Brasil e Colômbia. Os setores mais representados são manufatura (20%), seguido por saúde (12%), educação (9%) e varejo (8%).
O Sophos Active Adversary Report for Business Leaders fornece às organizações inteligência de ameaças acionáveis e insights necessários para otimizar estratégias e defesas de segurança.