Relatório aponta que ataques a aplicativos confiáveis cresceu 51% no último ano

Apesar da interferência governamental, grupo de ransomware LockBit dominou os casos de resposta a incidentes no primeiro semestre de 2024

Compartilhar:

A Sophos lançou o “The Bite from Inside: The Sophos Active Adversary Report”, um relatório detalhado sobre as mudanças de comportamento e técnicas de ataque que cibercriminosos usaram no primeiro semestre de 2024.

 

Os dados, derivados de quase 200 casos de resposta a incidentes (IR) da equipe responsável e do time de Detecção e Resposta Gerenciada (MDR) do Sophos X-Ops, apontam que os invasores estão aproveitando aplicativos e ferramentas confiáveis do Windows, comumente chamados de binários “living off the land” (LOLbins), para realizar buscas e acessar sistemas. A companhia também observou um aumento de 51% nesse tipo de ataque em comparação com 2023 – desde 2021, o aumento foi de 83%.

 

Entre os 187 LOLbins exclusivos da Microsoft detectados no primeiro semestre do ano, o aplicativo violado com mais frequência foi o protocolo de área de trabalho remota (RDP). Dentre os quase 200 casos de IR analisados, os invasores exploraram o RDP em 89% deles. Essa predominância reforça uma tendência observada pela primeira vez no Active Adversary Report de 2023, no qual o ataque ao RDP prevaleceu em 90% de todos os casos investigados.

 

“O Living-off-the-land oferece não apenas sigilo para as atividades de um invasor, mas também um endosso discreto de seus movimentos. Embora o abuso de algumas ferramentas legítimas possa surpreender algumas equipes de defesa, a violação de um binário da Microsoft tem geralmente o efeito oposto. Muitas dessas ferramentas são parte integrante do Windows e têm usos legítimos, mas cabe aos administradores de sistemas entender como elas são usadas em seus ambientes e o que constitui de fato uma violação. Sem uma conscientização contextual e detalhada, incluindo a vigilância contínua de novos eventos em desenvolvimento dentro da rede, as equipes de TI atuais correm o risco de não perceber as principais atividades de ameaças que levam muitas vezes ao ransomware”, afirma John Shier, CTO de campo da Sophos.

 

Além disso, o relatório constatou que, apesar da interferência do governo na infraestrutura e no principal site de vazamentos do grupo de ransomware LockBit, em fevereiro, suas atividades foram encontradas com mais frequência, respondendo por aproximadamente 21% das invasões no primeiro semestre de 2024.

 

Outras descobertas

Principal causa dos ataques: dando continuidade a uma tendência observada pela primeira vez no relatório Active Adversary Report for Tech Leaders, as credenciais comprometidas ainda são a principal causa raiz dos ataques, representando 39% dos casos. No entanto, isso representa um declínio em relação aos 56% observados em 2023;

 

Violações de redes dominam o MDR: ao examinar apenas os casos da equipe de MDR da Sophos, as violações de rede foram o incidente dominante encontrados;

 

Os tempos de permanência são mais curtos para as equipes de MDR: para os casos da equipe de IR da Sophos, o tempo de permanência – período entre o início de um ataque até sua detecção – se manteve em aproximadamente oito dias. No entanto, com o MDR, o tempo médio de permanência é de apenas um dia para todos os tipos de incidentes e apenas três dias para ataques de ransomware;

 

Os servidores do Active Directory (AD) comprometidos com mais frequência estão chegando ao fim da vida útil: os invasores comprometeram com mais frequência as versões de 2019, 2016 e 2012 do AD. Agora, todas elas estão fora do suporte convencional da Microsoft – um passo antes do fim da vida útil (EOL) e impossíveis de serem corrigidas sem o suporte pago da empresa. Além disso, 21% das versões de servidor do AD comprometidas já eram EOL.

 

Destaques

Colunas & Blogs

Conteúdos Relacionados

Security Report | Overview

IA agêntica exige CIOs com visão de RH

Artigo trata que IA agêntica surge como “nova colega de trabalho” nas empresas, exigindo dos CIOs uma gestão semelhante à...
Security Report | Overview

Setor de Educação mostra fortalecimento contra o ransomware em estudo

97% da vítimas do segmento recuperaram dados criptografados e pagamentos de resgate caíram drasticamente
Security Report | Overview

Relatório: Ciberataques globais seguem em níveis elevados e Brasil está entre os mais expostos

Os pesquisadores relatam que ataques cibernéticos globais atingiram o volume de quase 2.000 por semana por organização em agosto; no...
Security Report | Overview

Incidentes cibernéticos podem derrubar preço das ações em até 1,5%, revela estudo

Levantamento revela correlação direta entre ataques digitais e perdas financeiras prolongadas nas maiores empresas dos EUA