Estudo: Ataques cibernéticos usam ferramentas

26. agosto 2020
| Sem comentários
ataque cibernético

Compartilhar postagem

Relatórios da Kaspersky: Em 25 por cento dos ataques cibernéticos na Europa, os cibercriminosos fazem mau uso de ferramentas legítimas para suas atividades futuras. Eles geralmente usam vulnerabilidades de programas como gateways para a rede corporativa ou ferramentas de acesso remoto para roubar dados. 11,1% das respostas a incidentes na Europa vêm da Alemanha; 25,9% da Suíça.

Sejam instituições financeiras ou empresas de telecomunicações, indústria, transporte e logística - as organizações europeias de todos os setores têm que lidar com ataques cibernéticos. Quase um quarto (24 por cento) das respostas a incidentes analisadas pela Kaspersky em todo o mundo no ano passado dizem respeito à Europa, que vem em segundo lugar depois do Oriente Médio (32,6 por cento). Mais frequentemente, arquivos suspeitos (36,2 por cento), dados já criptografados (21,3 por cento) ou atividades suspeitas nos endpoints (10,6 por cento) desencadearam uma resposta a incidentes nas empresas. O problema com isso: metade dos incidentes só são descobertos depois de algumas semanas, então o estrago já foi feito. Além disso, um quarto dos incidentes de segurança estão relacionados a ferramentas legítimas de gerenciamento e acesso remoto, que as soluções de segurança lutam para detectar como ataques e são populares na era do trabalho remoto.

Às vezes, os ataques cibernéticos só se tornam aparentes em um estágio tardio

Por um lado, as empresas reconhecem os ataques cibernéticos por efeitos negativos perceptíveis, como dados criptografados, perda de dinheiro ou vazamento de dados, bem como pelos avisos que recebem de suas soluções de segurança. Analisando as respostas a incidentes na Europa, os especialistas da Kaspersky descobriram que, em mais de um terço (35,3%) dos casos, as vulnerabilidades exploradas do programa eram a porta de entrada para a rede corporativa. Os seguintes vetores de ataque inicial foram identificados:

  • e-mails maliciosos (29,4 por cento),
  • suportes de dados externos (11,8 por cento),
  • Explorar vulnerabilidades devido a configuração incorreta (11,8 por cento),
  • dados de acesso vazados (5,9 por cento)
  • e iniciados (5,9 por cento)

Empresas de todos os setores são afetadas. As respostas a incidentes analisadas pela Kaspersky vieram de organizações nas áreas de finanças (25,4 por cento), telecomunicações (16,9 por cento), indústria (16,9 por cento) e transporte (13,6 por cento). Aproximadamente cada 8,5ª resposta a incidente veio das autoridades (XNUMX por cento).

Ferramentas de gerenciamento e acesso remoto são um risco para as empresas

Uma vez na rede, os invasores abusaram de ferramentas legítimas para causar danos em 25% das respostas de incidentes analisadas. Na verdade, eles são usados ​​por administradores de TI e de rede para, entre outras coisas, solucionar problemas e fornecer suporte técnico aos funcionários. No entanto, permite que os cibercriminosos executem processos em endpoints, acessem e extraiam informações confidenciais, contornando vários controles de segurança usados ​​para detectar malware.

Analisando as respostas aos incidentes, os especialistas da Kaspersky conseguiram identificar 18 ferramentas legítimas diferentes que foram mal utilizadas pelos invasores para fins maliciosos. Metade dos casos analisados ​​na Europa (50 por cento) usaram a poderosa ferramenta de gerenciamento PowerShell, que pode ser usada para muitas finalidades, desde a coleta de informações até a execução de malware, e o PsExec, usado para iniciar processos em endpoints remotos. SoftPerfect Network Scanner, usado para obter informações sobre ambientes de rede, em 37,5 por cento dos ataques.

Software legítimo ofusca ataques

"Para evitar a detecção e permanecer invisível em uma rede comprometida pelo maior tempo possível, os invasores geralmente usam software projetado para atividades normais do usuário, tarefas do administrador e diagnóstico do sistema", explica Konstantin Sapronov, chefe da equipe global de resposta a emergências da Kaspersky. “Essas ferramentas permitem que os invasores coletem e movam informações sobre redes corporativas, alterem as configurações de software e hardware ou até mesmo executem ações maliciosas – eles podem usar software legítimo para criptografar os dados do cliente. O software legítimo pode ajudar os invasores a permanecerem fora do radar dos analistas de segurança, pois geralmente só detectam o ataque depois que o dano foi feito. Não é possível excluir essas ferramentas por vários motivos. No entanto, os sistemas de registro e monitoramento implantados adequadamente ajudam a detectar atividades suspeitas na rede e ataques sofisticados em estágios iniciais”.

As empresas devem considerar a implementação de uma solução de detecção e resposta de endpoint com um serviço MDR para detectar e responder a esses ataques em tempo hábil. A Avaliação MITRE ATT&CK® Round 2 [2], que avaliou várias soluções, como Kaspersky EDR e Kaspersky Managed Protection Service, pode ajudar as organizações a selecionar produtos EDR que atendam às suas necessidades. Os resultados da avaliação da ATT&CK demonstram a importância de uma solução abrangente que combina um produto de segurança multicamada totalmente automatizado e um serviço manual de detecção de ameaças.

Dicas de proteção da Kaspersky para empresas

  • Restrinja o acesso a ferramentas de gerenciamento remoto de endereços IP externos e garanta que as interfaces de controle remoto sejam acessíveis apenas a partir de um número limitado de endpoints.
  • Aplique uma política de senha rígida para todos os sistemas de TI e o uso de autenticação multifator.
  • Ofereça aos funcionários privilégios limitados e conceda contas de alto privilégio apenas para aqueles que precisam fazer seu trabalho.
  • Instalação de uma solução de segurança dedicada, como o Kaspersky Endpoint Security for Business [3], em todos os terminais Windows, Linux e MacOS. Isso permite proteção contra ameaças cibernéticas conhecidas e desconhecidas e oferece uma variedade de opções de controle de segurança cibernética para cada sistema operacional.
  • Forneça às equipes SOC acesso à inteligência de ameaças mais recente por meio da inteligência de ameaças [4], para que se mantenha atualizado sobre as ferramentas, técnicas e táticas dos agentes de ameaças.
  • Criação regular de backups de todos os dados comerciais relevantes. Dessa forma, dados importantes que foram criptografados e inutilizados pelo ransomware podem ser restaurados rapidamente.

Insights adicionais do Relatório do Analista de Resposta a Incidentes da Kaspersky estão disponíveis online.

Saiba mais em Kaspersky.com

 

Sobre Kaspersky

A Kaspersky é uma empresa internacional de cibersegurança fundada em 1997. A profunda inteligência de ameaças e experiência em segurança da Kaspersky serve como base para soluções e serviços de segurança inovadores para proteger empresas, infraestrutura crítica, governos e consumidores em todo o mundo. O abrangente portfólio de segurança da empresa inclui proteção de endpoint líder e uma variedade de soluções e serviços de segurança especializados para se defender contra ameaças cibernéticas complexas e em evolução. Mais de 400 milhões de usuários e 250.000 clientes corporativos são protegidos pelas tecnologias da Kaspersky. Mais informações sobre Kaspersky em www.kaspersky.com/

 

Artigos relacionados ao tema

Plataforma de cibersegurança com proteção para ambientes 5G

A especialista em segurança cibernética Trend Micro revela sua abordagem baseada em plataforma para proteger a superfície de ataque em constante expansão das organizações, incluindo segurança ➡ Leia mais

Manipulação de dados, o perigo subestimado

Todos os anos, o Dia Mundial do Backup, em 31 de março, serve como um lembrete da importância de backups atualizados e de fácil acesso. ➡ Leia mais

Impressoras como um risco à segurança

As frotas de impressoras empresariais estão a tornar-se cada vez mais num ponto cego e representam enormes problemas para a sua eficiência e segurança. ➡ Leia mais

A Lei AI e suas consequências para a proteção de dados

Com o AI Act, a primeira lei para IA foi aprovada e dá aos fabricantes de aplicações de IA entre seis meses e ➡ Leia mais

Sistemas operacionais Windows: Quase dois milhões de computadores em risco

Não há mais atualizações para os sistemas operacionais Windows 7 e 8. Isto significa lacunas de segurança abertas e, portanto, valiosas e ➡ Leia mais

AI no Enterprise Storage combate ransomware em tempo real

A NetApp é uma das primeiras a integrar inteligência artificial (IA) e aprendizado de máquina (ML) diretamente no armazenamento primário para combater ransomware ➡ Leia mais

Conjunto de produtos DSPM para Zero Trust Data Security

O gerenciamento da postura de segurança de dados – abreviadamente DSPM – é crucial para que as empresas garantam a resiliência cibernética contra a multidão ➡ Leia mais

Criptografia de dados: Mais segurança em plataformas em nuvem

As plataformas online são frequentemente alvo de ataques cibernéticos, como o Trello recentemente. 5 dicas para garantir criptografia de dados mais eficaz na nuvem ➡ Leia mais

mensagens de relações públicas
, , , ,