ataques a aplicativos confiáveis cresceu 51% no último ano

27/12/2024 mindsecblog Artigos, Notícias 0

Ataques a aplicativos confiáveis cresceu 51% no último ano, aponta relatório da Sophos.

Apesar da interferência governamental, grupo de ransomware LockBit dominou os casos de resposta a incidentes no primeiro semestre de 2024

A Sophos, líder global em inovação e fornecimento de cibersegurança como serviço, lançou o “The Bite from Inside: The Sophos Active Adversary Report”, um relatório detalhado sobre as mudanças de comportamento e técnicas de ataque que cibercriminosos usaram no primeiro semestre de 2024. Os dados, derivados de quase 200 casos de resposta a incidentes (IR) da equipe responsável e do time de Detecção e Resposta Gerenciada (MDR) do Sophos X-Ops, apontam que os invasores estão aproveitando aplicativos e ferramentas confiáveis do Windows, comumente chamados de binários “living off the land” (LOLbins), para realizar buscas e acessar sistemas. A companhia também observou um aumento de 51% nesse tipo de ataque em comparação com 2023 – desde 2021, o aumento foi de 83%.

Entre os 187 LOLbins exclusivos da Microsoft detectados no primeiro semestre do ano, o aplicativo violado com mais frequência foi o protocolo de área de trabalho remota (RDP). Dentre os quase 200 casos de IR analisados, os invasores exploraram o RDP em 89% deles. Essa predominância reforça uma tendência observada pela primeira vez no Active Adversary Report de 2023, no qual o ataque ao RDP prevaleceu em 90% de todos os casos investigados.

“O Living-off-the-land oferece não apenas sigilo para as atividades de um invasor, mas também um endosso discreto de seus movimentos. Embora o abuso de algumas ferramentas legítimas possa surpreender algumas equipes de defesa, a violação de um binário da Microsoft geralmente tem o efeito oposto. Muitas dessas ferramentas são parte integrante do Windows e têm usos legítimos, mas cabe aos administradores de sistemas entender como elas são usadas em seus ambientes e o que constitui de fato uma violação. Sem uma conscientização contextual e detalhada, incluindo a vigilância contínua de novos eventos em desenvolvimento dentro da rede, as equipes de TI atuais correm o risco de não perceber as principais atividades de ameaças que muitas vezes levam ao ransomware”, afirma John Shier, CTO de campo da Sophos.

Além disso, o relatório constatou que, apesar da interferência do governo na infraestrutura e no principal site de vazamentos do grupo de ransomware LockBit, em fevereiro, suas atividades foram encontradas com mais frequência, respondendo por aproximadamente 21% das invasões no primeiro semestre de 2024.

 

Outras descobertas importantes do último Active Adversary Report são:

  • Principal causa dos ataques: dando continuidade a uma tendência observada pela primeira vez no relatório Active Adversary Report for Tech Leaders, as credenciais comprometidas ainda são a principal causa raiz dos ataques, representando 39% dos casos. No entanto, isso representa um declínio em relação aos 56% observados em 2023;
  • Violações de redes dominam o MDR: ao examinar apenas os casos da equipe de MDR da Sophos, as violações de rede foram o incidente dominante encontrados;
  • Os tempos de permanência são mais curtos para as equipes de MDR: para os casos da equipe de IR da Sophos, o tempo de permanência – período entre o início de um ataque até sua detecção – se manteve em aproximadamente oito dias. No entanto, com o MDR, o tempo médio de permanência é de apenas um dia para todos os tipos de incidentes e apenas três dias para ataques de ransomware;
  • Os servidores do Active Directory (AD) comprometidos com mais frequência estão chegando ao fim da vida útil: os invasores comprometeram com mais frequência as versões de 2019, 2016 e 2012 do AD. Agora, todas elas estão fora do suporte convencional da Microsoft – um passo antes do fim da vida útil (EOL) e impossíveis de serem corrigidas sem o suporte pago da empresa. Além disso, 21% das versões de servidor do AD comprometidas já eram EOL.

Para saber mais sobre os comportamentos, ferramentas e técnicas dos cibercriminosos, leia “The Bite from Inside: The Sophos Active Adversary Report”, em Sophos.com.

Sobre a Sophos

A Sophos é líder global e inovadora em soluções de segurança avançadas que evitam ataques cibernéticos, incluindo detecção e resposta gerenciada (MDR) e serviços de resposta a incidentes, além de um amplo portfólio de tecnologias de segurança de endpoint, rede, e-mail e nuvem. Como um dos maiores fornecedores de segurança cibernética, a Sophos defende mais de 600 mil organizações e mais de 100 milhões de usuários em todo o mundo contra adversários ativos, ransomware, phishing, malware e muito mais. Os serviços e produtos da Sophos conectam-se por meio do console de gerenciamento Sophos Central e são alimentados pelo Sophos X-Ops, a unidade multioperacional de inteligência de ameaças da empresa. A inteligência do Sophos X-Ops otimiza todo o ecossistema adaptativo de segurança cibernética da companhia, que inclui um data lake centralizado que aproveita um rico conjunto de APIs abertas disponíveis para clientes, parceiros, desenvolvedores e outros fornecedores de cibersegurança e tecnologia da informação. A Sophos fornece segurança cibernética como serviço para organizações que precisam de soluções totalmente gerenciadas. Os clientes também podem administrar a segurança cibernética diretamente com a plataforma de operações de segurança da Sophos ou utilizar uma abordagem híbrida, complementando equipes internas com os serviços da Sophos, incluindo a busca e a remediação de ameaças. A Sophos comercializa os produtos por meio de parceiros revendedores e provedores de serviços gerenciados (MSPs) em todo o mundo. A Sophos está sediada em Oxford, Reino Unido. Mais informações estão disponíveis em www.sophos.com.

 

Veja também:

About mindsecblog 2980 Articles
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.
Website Facebook Twitter YouTube LinkedIn

Related Articles

Be the first to comment

Deixe sua opinião!