Em 56% dos casos de IR e MDR não houve invasão

Em 56% dos casos de IR e MDR não houve invasão. Relatório da Sophos aponta que em 56% dos casos de IR e MDR cibercriminosos sequer invadiram o sistema

Credenciais comprometidas são as principais causas raiz pelo segundo ano consecutivo

A Sophos, líder global em soluções de segurança inovadoras que evitam ciberataques, anuncia o lançamento do Sophos Active Adversary Report 2025, pesquisa que detalha o comportamento e as técnicas dos invasores em mais de 400 casos de Detecção e Resposta Gerenciada (MDR) e Resposta a Incidentes (IR) em 2024. O relatório descobriu que a principal maneira pela qual os atacantes tiveram acesso inicial às redes – 56% de todos os casos em MDR e IR – foi explorando serviços remotos externos, o que inclui dispositivos de borda, como firewalls e VPNs, utilizando contas válidas.

A combinação de serviços remotos externos e contas válidas está alinhada com as causas primordiais dos ataques. Pelo segundo ano consecutivo, as credenciais comprometidas foram a principal origem das invasões (41% dos casos), seguido por exploração de vulnerabilidades (21,79%) e ameaças de força bruta (21,07%).

Entendendo a velocidade dos ataques

Ao estudar as investigações de MDR e IR, a equipe do Sophos X-Ops analisou especificamente os casos de ransomware, extração e extorsão de dados para identificar a rapidez com que os invasores progrediram pelos estágios de um ataque dentro de uma organização. Nesses três tipos de casos, o tempo médio entre o início e a extração foi de apenas 72,98 horas, equivalente a 3,04 dias. Além disso, houve uma média de apenas 2,7 horas entre a obtenção do arquivo e a detecção da ameaça.

“A segurança passiva não é mais suficiente. Embora a prevenção seja essencial, a resposta rápida é fundamental. As organizações devem monitorar ativamente as redes e agir rapidamente contra a telemetria observada. Ataques articulados por adversários motivados exigem uma defesa coordenada. Para muitas corporações, isso significa combinar conhecimento específico do negócio com detecção e resposta lideradas por especialistas. Nosso relatório confirma que as instituições com monitoramento proativo detectam ameaças mais rapidamente e obtêm melhores resultados”, afirma John Shier, CISO de campo da Sophos.

Outras descobertas importantes do relatório Sophos Active Adversary 2025:

• Os invasores podem assumir o controle de um sistema em apenas 11 horas: o tempo médio entre a ação inicial dos atacantes e sua primeira tentativa, muitas vezes bem-sucedida, de violar o Active Directory (AD) – sem dúvida um dos ativos mais importantes em qualquer rede Windows – foi de apenas 11 horas. Se concluídos com êxito, os invasores podem assumir o controle da organização com mais facilidade.
• Principais grupos de ransomware nos casos da Sophos: o Akira foi o grupo de ransomware encontrado com mais frequência em 2024, seguido pelo Fog e pelo LockBit – apesar da derrubada do último por vários governos no início do ano.
• O tempo de permanência caiu para apenas dois dias: no geral, o tempo de permanência – isto é, entre o início de um ataque e sua detecção – diminuiu de quatro para apenas dois dias em 2024, grande parte devido à adição de casos de MDR ao conjunto de dados.
• Tempo de permanência em casos de IR: o tempo de permanência se manteve estável em quatro dias para ataques de ransomware e 11,5 dias para casos sem ransomware.
• Tempo de espera em casos de MDR: nas investigações de MDR, o tempo de permanência foi de apenas três dias para casos de ransomware e apenas um dia para os sem ransomware, sugerindo que as equipes de MDR são capazes de detectar e responder mais rapidamente aos ataques.
• Grupos de ransomware trabalham durante a noite: em 2024, 83% dos arquivos binários de ransomware foram lançados fora do horário comercial dos alvos.
• O protocolo de área de trabalho remota continua dominando: o Remote Desktop Protocol (RDP) esteve envolvido em 84% dos casos de MDR e IR, o que o torna a ferramenta da Microsoft mais frequentemente utilizada.

Para reforçar suas defesas, a Sophos recomenda que empresas façam o seguinte:

• Bloquear portas RDP expostas;
• Usar autenticação multifatorial (MFA) resistente a phishing sempre que possível;
• Fazer o patch dos sistemas vulneráveis em tempo hábil, com foco especial nos dispositivos e serviços voltados para a Internet;
• Implantar EDR ou MDR e garantir que ele seja monitorado proativamente 24 horas por dia, sete dias por semana;
• Estabelecer um plano abrangente de resposta a incidentes e testá-lo regularmente por meio de simulações ou exercícios de mesa.

Leia o relatório completo It Takes Two: The 2025 Sophos Active Adversary Report em Sophos.com

Sobre a Sophos

A Sophos é líder global e inovadora em soluções de segurança avançadas que evitam ataques cibernéticos, incluindo detecção e resposta gerenciada (MDR) e serviços de resposta a incidentes, além de um amplo portfólio de tecnologias de segurança de endpoint, rede, e-mail e nuvem. Como um dos maiores fornecedores de segurança cibernética, a Sophos defende mais de 600 mil organizações e mais de 100 milhões de usuários em todo o mundo contra adversários ativos, ransomware, phishing, malware e muito mais. Os serviços e produtos da Sophos conectam-se por meio do console de gerenciamento Sophos Central e são alimentados pelo Sophos X-Ops, a unidade multioperacional de inteligência de ameaças da empresa. A inteligência do Sophos X-Ops otimiza todo o ecossistema adaptativo de segurança cibernética da companhia, que inclui um data lake centralizado que aproveita um rico conjunto de APIs abertas disponíveis para clientes, parceiros, desenvolvedores e outros fornecedores de cibersegurança e tecnologia da informação. A Sophos fornece segurança cibernética como serviço para organizações que precisam de soluções totalmente gerenciadas. Os clientes também podem administrar a segurança cibernética diretamente com a plataforma de operações de segurança da Sophos ou utilizar uma abordagem híbrida, complementando equipes internas com os serviços da Sophos, incluindo a busca e a remediação de ameaças. A Sophos comercializa os produtos por meio de parceiros revendedores e provedores de serviços gerenciados (MSPs) em todo o mundo. A Sophos está sediada em Oxford, Reino Unido.

A Mindsec é  repesentantes oficias Sophos no Brasil, mais informações estão disponíveis em Mindsec Sophos 

Veja também:

• Vazamento no X expõe 2,8 bilhões de registros
• Backups precisam ser resilientes
• Phishing-as-a-Service revelado
• Novo golpe de phishing no Instagram
• Hacker vaza dados de clientes da Samsung
• senhasegura agora é Segura®
• ‘IngressNightmare’ coloca em risco ambientes Kubernetes
• Setor de abastecimento de água é alvo crescente de ciberataques
• WhatsApp e Telegram vulneráveis
• Cisco abre inscrições para capacitação gratuita em cibersegurança
• Ataque hacker a hospital de BH deixa pacientes sem serviços
• Tecnologia com segurança faz bem à Saúde!