A Sophos lançou o “The Bite from Inside: The Sophos Active Adversary Report”, um relatório detalhado sobre as mudanças de comportamento e técnicas de ataque que cibercriminosos usaram no primeiro semestre de 2024.
Os dados, derivados de quase 200 casos de resposta a incidentes (IR) da equipe responsável e do time de Detecção e Resposta Gerenciada (MDR) do Sophos X-Ops, apontam que os invasores estão aproveitando aplicativos e ferramentas confiáveis do Windows, comumente chamados de binários “living off the land” (LOLbins), para realizar buscas e acessar sistemas. A companhia também observou um aumento de 51% nesse tipo de ataque em comparação com 2023 – desde 2021, o aumento foi de 83%.
Entre os 187 LOLbins exclusivos da Microsoft detectados no primeiro semestre do ano, o aplicativo violado com mais frequência foi o protocolo de área de trabalho remota (RDP). Dentre os quase 200 casos de IR analisados, os invasores exploraram o RDP em 89% deles. Essa predominância reforça uma tendência observada pela primeira vez no Active Adversary Report de 2023, no qual o ataque ao RDP prevaleceu em 90% de todos os casos investigados.
“O Living-off-the-land oferece não apenas sigilo para as atividades de um invasor, mas também um endosso discreto de seus movimentos. Embora o abuso de algumas ferramentas legítimas possa surpreender algumas equipes de defesa, a violação de um binário da Microsoft tem geralmente o efeito oposto. Muitas dessas ferramentas são parte integrante do Windows e têm usos legítimos, mas cabe aos administradores de sistemas entender como elas são usadas em seus ambientes e o que constitui de fato uma violação. Sem uma conscientização contextual e detalhada, incluindo a vigilância contínua de novos eventos em desenvolvimento dentro da rede, as equipes de TI atuais correm o risco de não perceber as principais atividades de ameaças que levam muitas vezes ao ransomware”, afirma John Shier, CTO de campo da Sophos.
Além disso, o relatório constatou que, apesar da interferência do governo na infraestrutura e no principal site de vazamentos do grupo de ransomware LockBit, em fevereiro, suas atividades foram encontradas com mais frequência, respondendo por aproximadamente 21% das invasões no primeiro semestre de 2024.
Outras descobertas
Principal causa dos ataques: dando continuidade a uma tendência observada pela primeira vez no relatório Active Adversary Report for Tech Leaders, as credenciais comprometidas ainda são a principal causa raiz dos ataques, representando 39% dos casos. No entanto, isso representa um declínio em relação aos 56% observados em 2023;
Violações de redes dominam o MDR: ao examinar apenas os casos da equipe de MDR da Sophos, as violações de rede foram o incidente dominante encontrados;
Os tempos de permanência são mais curtos para as equipes de MDR: para os casos da equipe de IR da Sophos, o tempo de permanência – período entre o início de um ataque até sua detecção – se manteve em aproximadamente oito dias. No entanto, com o MDR, o tempo médio de permanência é de apenas um dia para todos os tipos de incidentes e apenas três dias para ataques de ransomware;
Os servidores do Active Directory (AD) comprometidos com mais frequência estão chegando ao fim da vida útil: os invasores comprometeram com mais frequência as versões de 2019, 2016 e 2012 do AD. Agora, todas elas estão fora do suporte convencional da Microsoft – um passo antes do fim da vida útil (EOL) e impossíveis de serem corrigidas sem o suporte pago da empresa. Além disso, 21% das versões de servidor do AD comprometidas já eram EOL.
