Os administradores têm apenas uma janela curta de 15 minutos a 10 horas após a notificação de novas vulnerabilidades de dia zero para fornecer atualizações de segurança a seus sistemas, mostra um estudo.
Os invasores estão ficando cada vez mais rápidos quando se trata de explorar novas vulnerabilidades de dia zero. Isso mostra um Estudo da Palo Alto Networks, para o qual foram analisados cerca de 600 incidentes de segurança. Em média, leva apenas 15 minutos após uma nova vulnerabilidade de segurança de dia zero ser relatada para que os criminosos pesquisem ativamente na Internet em busca de sistemas vulneráveis. O mesmo aconteceu com algumas das vulnerabilidades de dia zero mais graves do ano passado, incluindo ProxyShell e ProxyLogon, Log4Shell, bem como SonicWall e ADSelfService Plus do ManageEngine da Zoho Corp.
Vulnerabilidades de dia zero são verificadas imediatamente
Os pesquisadores de segurança escrevem em seu relatório que puderam observar o aumento da atividade de verificação de sistemas vulneráveis sempre que uma nova vulnerabilidade foi relatada - e isso apenas 15 minutos depois! Foi o que aconteceu com a vulnerabilidade crítica no software Big-IP da F5, que foi incluída no catálogo cada vez maior de vulnerabilidades ativamente exploradas pela Agência Americana de Segurança Cibernética e Infraestrutura (CISA) em maio. Depois que o erro se tornou conhecido, os pesquisadores de segurança de Palo Alto observaram 10 verificações nas 2.500 horas seguintes, que procuravam especificamente os sistemas afetados.
O estudo também mostra que o phishing ainda é a porta de entrada mais comum para os hackers em 37%, mas as falhas no software também são um risco sério e foram responsáveis pelo primeiro acesso dos invasores em 31% dos casos. Ataques de força bruta, como pulverização de senhas, chegaram a XNUMX%, credenciais comprometidas a XNUMX%, ameaças internas e de engenharia social a XNUMX% cada e abuso de relacionamentos ou ferramentas confiáveis a XNUMX%.
Exchange Servers não corrigidos como backdoor
Mais de 87 por cento das vulnerabilidades que os hackers usaram para obter acesso aos sistemas comprometidos caíram em uma das seis categorias. Em 55 por cento dos casos em que a Palo Alto Networks foi chamada para pedir ajuda, os bugs do Exchange Server ProxyShell foram responsáveis pela penetração dos hackers. A vulnerabilidade era tão difundida que vários grupos de hackers, como o grupo de ransomware Hive, se especializaram nessas vulnerabilidades - embora a Microsoft tenha lançado patches no início de 2021 que teriam corrigido os bugs no ProxyShell e no ProxyLogon. O Log4j representou apenas 14% dos casos examinados por Palo Alto, seguido pelas falhas no SonicWall com 13%, ProxyLogon com XNUMX%, ManageEngine com XNUMX% e FortiNet com XNUMX%. Outras vulnerabilidades representaram os XNUMX% restantes.
Tudo incluído: Conti, LockBit, ALPHV, BlackCat, BlackMatter
A análise apenas dos incidentes de segurança envolvendo ransomware mostrou que 22% dos casos podem ser rastreados até o Conti Group, seguido pelo LockBit 2.0 com 14%. Outros agentes de ransomware, como Hive, Dharma, PYSA, Phobos, ALPHV/BlackCat, REvil e BlackMatter, representaram cada um menos de 10% dos ataques.
Em resumo, os pesquisadores de segurança alertam que atores menos talentosos estão se tornando cada vez mais ativos no campo do crime cibernético. Por um lado, isso pode ser atribuído ao número cada vez maior de ofertas de Malware-as-a-Service na dark web. Por outro lado, os relatórios de altas somas de resgate após ataques de ransomware também desempenham um papel não insignificante. Combinado com o aumento das pressões econômicas de uma potencial recessão global, mais e mais criminosos veem sua chance de ganhar muito dinheiro. No entanto, à medida que o julgamento dessas gangues de hackers se torna cada vez mais bem-sucedido, os casos de comprometimento de e-mails comerciais também podem aumentar, como alertam os autores do estudo.
Sobre 8com O 8com Cyber Defense Center protege efetivamente as infraestruturas digitais dos clientes da 8com contra ataques cibernéticos. Inclui informações de segurança e gerenciamento de eventos (SIEM), gerenciamento de vulnerabilidades e testes de penetração profissionais. Além disso, oferece o desenvolvimento e integração de um Sistema de Gestão de Segurança da Informação (ISMS) incluindo certificação de acordo com padrões comuns. Medidas de conscientização, treinamento de segurança e gerenciamento de resposta a incidentes completam a oferta.