A Sophos lançou um novo relatório com um olhar mais aprofundado sobre os diversas formas de ataque, incluindo o ransomware, e chegou a uma conclusão de que o tempo de deteção diminuiu no primeiro semestre de 2023.
Segundo o relatório, o tempo médio de permanência dos invasores (sendo este o tempo entre o início de um ataque e a sua deteção por parte da empresa afetada) diminuiu de 10 para oito dias em todos os ataques, sendo que, no caso do ransomware, diminuiu para 5 dias.
Ransomware é mais vezes detetado no fim da semana de trabalho
A Sophos, líder global em inovação e oferta de soluções de cibersegurança como serviço, lançou o seu Active Adversary Report for Tech Leaders 2023, um olhar aprofundado sobre os comportamentos e ferramentas dos atacantes durante o primeiro semestre de 2023.
Depois de analisar os seus próprios casos de Resposta a Incidentes (IR) entre janeiro e julho, a equipa Sophos X-Ops descobriu que o tempo médio de permanência dos atacantes diminuiu de 10 para oito dias em todos os ataques, e para cinco dias nos ataques de ransomware. Em 2022, o tempo médio de permanência diminuíra de 15 para 10 dias.
Para além disso, a Sophos X-Ops descobriu que, em média, os atacantes levaram cerca de 16 horas a chegar ao Active Directory (AD), um dos ativos mais críticos de uma empresa.
Geralmente o AD gere a identidade e o acesso aos recursos dentro de uma organização, o que significa que os atacantes o podem utilizar para aumentar facilmente os seus privilégios num sistema, simplesmente iniciando sessão e levando a cabo uma diversidade de atividades maliciosas.
“Atacar a infraestrutura do Active Directory de uma organização faz sentido do ponto de vista ofensivo. O AD é normalmente o sistema mais poderoso e privilegiado da rede, proporcionando um amplo acesso aos sistemas, aplicações, recursos e dados que os atacantes podem explorar nos seus ataques. Quando um atacante controla o AD, é capaz de controlar a organização. O Active Directory é um alvo pelo seu impacto, agravamento e sobrecarga na recuperação de um ataque,”
John Shier, Field CTO da Sophos
O estudo da Sophos permitiu chegar ainda a outras conclusões. Para começar, o tempo de permanência no caso dos ataques de ransomware acabou por diminuir. Apesar de ser o tipo de ataque mais prevalente nos casos de IR analisados, representando 69% dos casos investigados, o seu tempo médio de permanência foi de apenas cinco dias.
EM 81% dos ataques de ransomware, o payload final do ataque foi lançado já fora do horário de trabalho mais tradicional. Entre os ataques lançados durante o horário de trabalho, apenas cinco ocorreram num dia útil da semana.
O número de ataques detetados foi aumentando à medida que a semana avança, em especial no caso dos ataques de ransomware. 43% dos ataques desta família foram detetados numa sexta-feira ou mesmo num sábado.
“Temos sido, de certa forma, vítimas do nosso próprio sucesso. À medida que a adoção de tecnologias como o XDR e de serviços como o MDR aumenta, também aumenta a nossa capacidade de detetar ataques mais cedo. A redução dos tempos de deteção leva a uma resposta mais rápida, o que se traduz numa janela de operação mais curta para os atacantes. Ao mesmo tempo, estes têm estado a aperfeiçoar os seus manuais, especialmente no caso dos afiliados de ransomware experientes e com bons recursos, que continuam a acelerar os seus ataques aparatosos face a defesas melhoradas”
John Shier, Field CTO da Sophos
O Sophos Active Adversary Report for Tech Leaders baseia-se em investigações de Resposta a Incidentes (IR) da Sophos em todo mundo e em 25 setores, entre janeiro e julho de 2023. Foram inquiridas organizações em 33 países diferentes em seis continentes, e 88% dos casos de IR foram registados em organizações com menos de 1.000 colaboradores.
Este relatório oferece aos profissionais de segurança informações acionáveis sobre ameaças, bem como conhecimentos para operacionalizarem melhor a sua estratégia de segurança.
