Cibercriminosos passam mais de 250 horas sem serem detectados nas redes-alvo

Manual revela que o ransomware apareceu em 81% dos incidentes e 69% dos ataques que envolveram o uso do protocolo de desktop remoto (RDP) para movimento lateral dentro da rede

Compartilhar:

A Sophos lançou o “Active Adversary Playbook 2021“, detalhando os comportamentos dos cibercriminosos, suas táticas, técnicas e procedimentos mais comuns (TTPs) que os investigadores de ameaças da linha de frente da Sophos e os responsáveis pela resposta a incidentes viram em 2020 — os dados de detecção de TTP também cobrem o início de 2021.

 

As descobertas mostram que o tempo médio de permanência do invasor antes da detecção foi de 11 dias — ou 264 horas — e aponta que a maior infiltração não detectada levou 15 meses. O ransomware apareceu em 81% dos incidentes e 69% dos ataques que envolveram o uso do protocolo de desktop remoto (RDP) para movimento lateral dentro da rede.

 

O manual é baseado nas observações da Sophos, bem como em 81 investigações de incidentes e percepções da equipe Sophos Managed Threat Response (MTR) e Sophos Rapid Response de respondentes a incidentes. O objetivo é ajudar as equipes de segurança a entender o que os cibercriminosos fazem durante os ataques e como detectar e se defender contra atividades nocivas em sua rede.

 

“O cenário de ameaças está se tornando mais congestionado e complexo, com ataques lançados por cibercriminosos com uma ampla gama de habilidades e recursos, que vão desde script kiddies até grupos de ameaças apoiados por Estados-nação. Isso pode tornar a vida um desafio para os defensores”, conta John Shier, Consultor de Segurança Sênior da Sophos.

 

As principais descobertas do manual são:

 

• O tempo médio de permanência do invasor na rede de destino antes da detecção foi de 11 dias — para colocar isso em contexto, 11 dias potencialmente oferecem aos invasores 264 horas para atividades maliciosas, como movimento lateral, reconhecimento, despejo de credenciais, exfiltração de dados e muito mais. Considerando que algumas dessas atividades podem levar apenas alguns minutos ou algumas horas para serem implementadas — muitas vezes ocorrendo à noite ou fora do horário de trabalho padrão — esses 11 dias permitem aos invasores tempo suficiente para causar danos à rede de uma organização. Também é importante destacar que os ataques de ransomware tendem a ter um tempo de permanência mais curto do que os ataques “furtivos”, porque eles são totalmente voltados para a  destruição;

 

• 90% dos ataques vistos envolveram o uso de protocolo de área de trabalho remota (RDP)e em 69% de todos os casos, os invasores usaram RDP para movimento lateral interno – medidas de segurança para RDP, como VPNs e autenticação multifator, tendem a se concentrar em proteger o acesso externo. No entanto, eles não funcionam se o invasor já estiver dentro da rede. O uso de RDP para movimento lateral interno é cada vez mais comum  assim como os que envolvem ransomware;

 

• Correlações interessantes surgem entre as cinco principais ferramentas encontradas nas redes de vítimas – Por exemplo, quando o PowerShell é usado em um ataque, Cobalt Strike é visto em 58% dos casos, PsExec em 49%, Mimikatz em 33% e GMER em 19%. Cobalt Strike e PsExec são usados juntos em 27% dos ataques, enquanto Mimikatz e PsExec ocorrem juntos em 31% dos casos. Por último, a combinação de Cobalt Strike, PowerShell e PsExec aparece em 12% de todos os ataques. Essas correlações são importantes porque sua detecção pode servir como um aviso prévio de um ataque iminente ou confirmar a presença de um ataque ativo;

 

• O ransomware esteve envolvido em 81% dos ataques investigados pela Sophos – O lançamento de ransomware costuma ser o ponto em que um ataque se torna visível para uma equipe de segurança de TI. Portanto, não é de se surpreender que a vasta maioria dos incidentes aos quais a Sophos respondeu envolvesse ransomware. Outros tipos de ataque que a Sophos investigou incluíram apenas exfiltração, criptominadores, cavalos de Troia bancários, limpadores, conta-gotas, ferramentas de teste de intrusão/ataque e muito mais.

 

“Com os cibercriminosos passando em média 11 dias na rede, implementando seu ataque enquanto se misturam à atividade de TI de rotina, é fundamental que os defensores entendam os sinais de alerta para procurar e investigar. Uma das maiores bandeiras vermelhas, por exemplo, é quando uma ferramenta ou atividade legítima é detectada em um lugar inesperado. Acima de tudo, os defensores devem se lembrar que a tecnologia pode fazer muito, mas no cenário de ameaças de hoje, pode não ser suficiente por si só. A experiência humana e a capacidade de resposta são uma parte vital de qualquer solução de segurança”, explica John Shier.

 

Outros tópicos abordados no manual incluem as táticas e técnicas com maior probabilidade de sinalizar uma ameaça ativa e garantir uma investigação mais detalhada, os primeiros sinais de ataque, os escalonamentos mais amplamente vistos, os tipos de ameaças e tecnologias criminosas, os grupos invasores mais prevalentes vistos e muito mais.

Destaques

Colunas & Blogs

Conteúdos Relacionados

Security Report | Overview

Anatel abre consulta para habilitar avaliação de Segurança em aparelhos móveis

Medida visa aumentar a proteção de dados corporativos e dos consumidores, e as contribuições podem ser feitas até 29 de...
Security Report | Overview

Deepfakes: Os desafios da Era da Informação manipulada

Diversas situações cotidianas recentes demonstraram a necessidade de manter atenção redobrada aos deepfakes que circulam nas redes, devido a sua...
Security Report | Overview

Hacktivismo puxa aumento de ataques DDoS no Brasil, alerta especialista

Pesquisadores da Check Point Software voltam a alertar sobre a ascensão de ataques de hackers em nome de ideologias e...
Security Report | Overview

EUA e Reino Unido movem sanções conjuntas em resposta a ciberataques chineses

Especialistas da Check Point Software analisaram os ataques do grupo de hackers APT31, afiliado ao Estado chinês, contra os governos...