Relatório aponta que ataques a aplicativos confiáveis cresceu 51% no último ano

Apesar da interferência governamental, grupo de ransomware LockBit dominou os casos de resposta a incidentes no primeiro semestre de 2024

Compartilhar:

A Sophos lançou o “The Bite from Inside: The Sophos Active Adversary Report”, um relatório detalhado sobre as mudanças de comportamento e técnicas de ataque que cibercriminosos usaram no primeiro semestre de 2024.

 

Os dados, derivados de quase 200 casos de resposta a incidentes (IR) da equipe responsável e do time de Detecção e Resposta Gerenciada (MDR) do Sophos X-Ops, apontam que os invasores estão aproveitando aplicativos e ferramentas confiáveis do Windows, comumente chamados de binários “living off the land” (LOLbins), para realizar buscas e acessar sistemas. A companhia também observou um aumento de 51% nesse tipo de ataque em comparação com 2023 – desde 2021, o aumento foi de 83%.

 

Entre os 187 LOLbins exclusivos da Microsoft detectados no primeiro semestre do ano, o aplicativo violado com mais frequência foi o protocolo de área de trabalho remota (RDP). Dentre os quase 200 casos de IR analisados, os invasores exploraram o RDP em 89% deles. Essa predominância reforça uma tendência observada pela primeira vez no Active Adversary Report de 2023, no qual o ataque ao RDP prevaleceu em 90% de todos os casos investigados.

 

“O Living-off-the-land oferece não apenas sigilo para as atividades de um invasor, mas também um endosso discreto de seus movimentos. Embora o abuso de algumas ferramentas legítimas possa surpreender algumas equipes de defesa, a violação de um binário da Microsoft tem geralmente o efeito oposto. Muitas dessas ferramentas são parte integrante do Windows e têm usos legítimos, mas cabe aos administradores de sistemas entender como elas são usadas em seus ambientes e o que constitui de fato uma violação. Sem uma conscientização contextual e detalhada, incluindo a vigilância contínua de novos eventos em desenvolvimento dentro da rede, as equipes de TI atuais correm o risco de não perceber as principais atividades de ameaças que levam muitas vezes ao ransomware”, afirma John Shier, CTO de campo da Sophos.

 

Além disso, o relatório constatou que, apesar da interferência do governo na infraestrutura e no principal site de vazamentos do grupo de ransomware LockBit, em fevereiro, suas atividades foram encontradas com mais frequência, respondendo por aproximadamente 21% das invasões no primeiro semestre de 2024.

 

Outras descobertas

Principal causa dos ataques: dando continuidade a uma tendência observada pela primeira vez no relatório Active Adversary Report for Tech Leaders, as credenciais comprometidas ainda são a principal causa raiz dos ataques, representando 39% dos casos. No entanto, isso representa um declínio em relação aos 56% observados em 2023;

 

Violações de redes dominam o MDR: ao examinar apenas os casos da equipe de MDR da Sophos, as violações de rede foram o incidente dominante encontrados;

 

Os tempos de permanência são mais curtos para as equipes de MDR: para os casos da equipe de IR da Sophos, o tempo de permanência – período entre o início de um ataque até sua detecção – se manteve em aproximadamente oito dias. No entanto, com o MDR, o tempo médio de permanência é de apenas um dia para todos os tipos de incidentes e apenas três dias para ataques de ransomware;

 

Os servidores do Active Directory (AD) comprometidos com mais frequência estão chegando ao fim da vida útil: os invasores comprometeram com mais frequência as versões de 2019, 2016 e 2012 do AD. Agora, todas elas estão fora do suporte convencional da Microsoft – um passo antes do fim da vida útil (EOL) e impossíveis de serem corrigidas sem o suporte pago da empresa. Além disso, 21% das versões de servidor do AD comprometidas já eram EOL.

 

Conteúdos Relacionados

Security Report | Overview

Grupos de ransomware formam aliança para expandir operações, alerta laboratório de SI

Experts do SonicWall Capture Labs identificaram a nova ameaça surgida a partir da união de dois grupos de criminosos digitais....
Security Report | Overview

31% das startups brasileiras sofreram ataques automatizados em 2024, relata pesquisa

Além disso, análise da Akamai aponta que 25% foram alvo de ransomware e roubo de credenciais, expondo fragilidade nas operações
Security Report | Overview

Estudo aponta que um em cada cinco usuários de apps de namoro foi alvo do cibercrime

Nova pesquisa da Norton mostra que 21% das pessoas no Brasil, que atualmente usam aplicativos de namoro, dizem que já...
Security Report | Overview

Programa de roubo de criptomoedas está disponível em lojas de apps, alerta pesquisa

O trojan SparkCat já foi baixado mais de 242 mil vezes apenas no Google Play. O malware é propagado tanto...