A análise detalhada dos ataques reais às empresas revela um novo esquema utilizado pelos cibercriminosos para encobrir o tempo de permanência e, assim, impedir uma resposta defensiva rápida. O novo Relatório Sophos Active Adversary revela os truques usados pelos cibercriminosos.
A Sophos lançou seu novo Relatório de Adversário Ativo. Particularmente impressionante: em 42% dos ataques analisados, os protocolos telemétricos estavam em falta e em 82% destes casos, os criminosos desativaram ou eliminaram ativamente os dados de telemetria para ocultar os seus ataques. Além disso, o tempo de permanência no sistema sequestrado continua a diminuir, continuando a tendência do último relatório.
Relatório de Adversário Ativo
“Adversário Ativo” é um termo técnico que descreve o tipo de estratégia de ataque em um sistema. Em contraste com os ataques puramente técnicos e automatizados, o factor humano entra em jogo neste tipo de ataque: os cibercriminosos sentam-se activamente ao teclado e reagem individualmente às circunstâncias num sistema infiltrado. Estas viagens furtivas são ainda apoiadas por lacunas na telemetria, uma vez que reduzem a visibilidade necessária nas redes e sistemas. Um grande problema, especialmente porque o tempo gasto pelos atacantes – desde o acesso inicial até à detecção – está continuamente a diminuir e, portanto, o tempo para a reacção defensiva também é mais curto.
“O tempo é o fator crítico na resposta a uma ameaça ativa. A fase entre a descoberta do acesso inicial e o completo desarmamento da situação deve ser a mais curta possível. Quanto mais os criminosos avançam na cadeia de ataque, mais problemas vemos no centro de defesa. A falta de dados de telemetria aumenta o tempo de recuperação, algo que a maioria das organizações não pode pagar. É por isso que o registro completo e preciso é muito importante. “Mas vemos que muitas vezes as organizações não têm os dados de que realmente precisam”, afirma John Shier, CTO de campo da Sophos, sobre o problema da telemetria.
No sistema há menos de cinco dias – os ataques rápidos de ransomware atingem 38%
No Active Adversary Report, a Sophos classifica os ataques de ransomware que duram até cinco dias como “ataques rápidos”. Havia 38% deles nos casos examinados. “Ataques lentos” são aqueles que às vezes duram muito mais do que cinco dias. Havia 62 por cento deles. Mesmo que os ataques “rápidos” sejam ainda menos comuns, a sua proporção no quadro geral está constantemente a aumentar - e por razões: os atacantes estão a reagir aos melhores métodos de detecção nas empresas, que lhes deixam menos tempo e os cibercriminosos são agora também fáceis e muito experientes. . “Como acontece com qualquer processo, a repetição e a prática tendem a produzir melhores resultados”, diz John Shier. “O ransomware moderno completa dez anos este ano, um longo período com muitos exemplos para transformar cada vez mais criminosos em especialistas. Um desenvolvimento ainda mais perigoso quando muitas estratégias de defesa não conseguiam acompanhar.”
Ao examinar os tipos rápido e lento, houve pouca variação nas ferramentas, técnicas e LOLBins (binários de vida fora da terra) que os invasores usam. Isto sugere que os defensores do sistema atacado não precisam reinventar as suas estratégias de defesa à medida que o tempo de permanência diminui. No entanto, as empresas devem estar cientes de que ataques rápidos e a falta de telemetria podem dificultar tempos de resposta rápidos e, subsequentemente, levar a uma perturbação significativamente maior nas operações empresariais.
Novas medidas defensivas não são absolutamente necessárias
“Os cibercriminosos são preguiçosos e só fazem alterações se isso significar que podem atingir melhor o seu objetivo. Os invasores não mudam o que está acontecendo, mesmo que isso signifique que sejam descobertos mais rapidamente após a infiltração. Esta é uma boa notícia para as organizações porque elas não precisam mudar radicalmente sua estratégia defensiva só porque os atacantes estão ligando o turbo. As medidas defensivas que detectam ataques rápidos são eficazes para todos os ataques, independentemente do tempo. Isso também inclui telemetria completa, proteção robusta para todas as áreas e monitoramento onipresente”, ressalta Shier. “A chave é aumentar a resistência. Se você dificultar as coisas para os atacantes e prolongar cada fase do ataque, terá mais tempo para reagir.
O Relatório Sophos Active Adversary é baseado em 232 casos de resposta a incidentes de 1º de janeiro de 2022 a 30 de junho de 2023 em 25 setores. As organizações afetadas estavam localizadas em 34 países diferentes em seis continentes. 83% dos casos afetaram empresas com menos de 1.000 funcionários. O relatório fornece informações práticas sobre como os profissionais de segurança podem projetar de forma otimizada suas estratégias defensivas.
Mais em Sophos.com
Sobre a Sophos A Sophos tem a confiança de mais de 100 milhões de usuários em 150 países. Oferecemos a melhor proteção contra ameaças complexas de TI e perda de dados. Nossas soluções de segurança abrangentes são fáceis de implantar, usar e gerenciar. Eles oferecem o menor custo total de propriedade do setor. A Sophos oferece soluções de criptografia premiadas, soluções de segurança para endpoints, redes, dispositivos móveis, e-mail e web. Também há suporte da SophosLabs, nossa rede global de centros de análise proprietários. A sede da Sophos fica em Boston, EUA e Oxford, Reino Unido.