blog

May 31, 2024

Os ataques cibernéticos em 2023 desenvolvem-se mais rapidamente à medida que o tempo médio de permanência desce

denisismagilov - stock.adobe.com O tempo médio de permanência – o tempo entre o acesso de um invasor aos sistemas de sua vítima e a detecção ou execução do ataque – caiu significativamente, caindo

denisismagilov - stock.adobe.com

O tempo médio de permanência – o tempo entre o acesso de um invasor aos sistemas de suas vítimas e o ataque ser detectado ou executado – caiu significativamente, caindo de 10 para oito dias entre janeiro e julho de 2023, tendo caído cinco dias de 15 para 10 durante 2022 após um aumento acentuado em 2021.

Isso está de acordo com dados extraídos de casos de resposta a incidentes (IR) do Sophos X-Ops, que foram divulgados hoje no relatório de adversário ativo da empresa para líderes de tecnologia 2023.

A estatística principal poderia ser considerada uma boa notícia, como um sinal de que as capacidades de detecção entre as equipes de segurança dos usuários finais estão melhorando, mas, por outro lado, também poderia refletir atores de ameaças cada vez mais bem organizados, tecnicamente aptos e operacionalmente eficientes, que sabem o que eles querem e como consegui-lo.

Na verdade, o X-Ops descobriu que os invasores agora levam aproximadamente 16 horas para alcançar os ativos críticos do Active Directory (AD) de suas vítimas. Esses ativos normalmente gerenciam a identidade e o acesso aos recursos organizacionais, tornando-os uma mina de ouro para os atores de ameaças que buscam aumentar seus privilégios, como explicou o diretor de tecnologia de campo da Sophos, John Shier.

“Atacar a infra-estrutura do Active Directory de uma organização faz sentido do ponto de vista ofensivo”, disse ele. “O AD é geralmente o sistema mais poderoso e privilegiado da rede, proporcionando amplo acesso aos sistemas, aplicações, recursos e dados que os invasores podem explorar em seus ataques. Quando um invasor controla o AD, ele pode controlar a organização. O impacto, o escalonamento e a sobrecarga de recuperação de um ataque ao Active Directory são o motivo pelo qual ele é direcionado.

“Acessar e obter controle do servidor Active Directory na cadeia de ataque oferece diversas vantagens aos adversários. Eles podem permanecer sem serem detectados para determinar seu próximo movimento e, quando estiverem prontos, podem explodir a rede da vítima sem impedimentos.

“A recuperação total de um comprometimento de domínio pode ser um esforço longo e árduo”, disse Shier. “Tal ataque prejudica a base de segurança da qual depende a infra-estrutura de uma organização. Muitas vezes, um ataque AD bem-sucedido significa que uma equipe de segurança precisa começar do zero.”

O relatório também revela que, no caso de ataques de ransomware, o tempo médio de permanência caiu para cinco dias, o que pode estar ligado ao crescimento de ataques de ransomware nos quais nenhum armário de ransomware é implantado, como a recente campanha de Clop contra o MOVEit da Progress Software. ferramenta.

Os ataques de ransomware foram o tipo de ataque mais prevalente nos casos de RI em que a equipe X-Ops trabalhou, respondendo por 69% dos engajamentos. Shier, no entanto, observou que, deixando de lado os incidentes de ransomware conhecidos, um número significativo de ataques parecia ser violações de rede que consistiam em uma intrusão, mas sem motivo claro, levantando a questão: quantos deles foram realmente ataques de ransomware frustrados.

“Conseguimos identificar vários ataques perpetrados por Cuba e pela Vice Society, ambos infames fornecedores de ransomware, mas o mais importante é que esses ataques nunca atingiram o estágio de ransomware”, escreveu Shier.

“A lição aqui para a liderança empresarial é que uma ação imediata pode quebrar até mesmo uma cadeia de ataque testada e comprovada, como a usada pelo ransomware; no caso de vários desses incidentes, provavelmente foi isso que aconteceu.”

Refletindo uma tendência há muito observada, mas geralmente não quantificada, entre os agentes de ameaças de execução de ransomware nos fins de semana ou feriados – como no incidente Kaseya de 4 de julho de 2021 – a Sophos revelou que em 81% dos ataques de ransomware observados, a carga final foi detonada fora do horário de trabalho, e daqueles que foram implantados em horário de trabalho, apenas cinco ocorreram em dia de semana.

O número de ataques detectados na telemetria do X-Ops geralmente aumentou à medida que a semana avançava, com 43% dos ataques de ransomware detectados em uma sexta-feira ou sábado, quando as equipes de segurança estão encerrando o fim de semana ou totalmente fora do escritório.