Criminosos cibernéticos cada vez mais tempo sem serem notados na rede corporativa
Sophos Cybersecurity, Cyber Threat, Cyberangriffe
Os cibercriminosos passam cada vez mais tempo sem serem notados no rede corporativa
Sophos publicou o seu "Active Adversary Playbook 2022" relatório. Descreve em pormenor o comportamento dos cibercriminosos observados pelo Rapid Response Team Sophos observou em 2021. O a investigação mostra um aumento no tempo que os cibercriminosos passam em redes empresariais em 36 por cento. A média não detectada rede sem um grande ataque, como um resgate, é de 34 dias. O relatório também mostra o impacto do Vulnerabilidades do ProxyShell no Microsoft Exchange, que segundo Sophos estão a ser exploradas por alguns por vários corretores de acesso inicial (IABs) para penetrar nas redes e depois e depois vender o acesso a outros cibercriminosos.
"O mundo da cibercriminalidade tornou-se incrivelmente diversificado e especializado", diz John Shier, conselheiro de segurança sénior da Sophos. "Os corretores de acesso inicial (IABs) desenvolveram a sua própria indústria de cibercrime indústria, penetrando um alvo, explorando-o ou instalando uma porta traseira, e depois porta traseira e depois fornecer acesso "chave na mão" a Gangues de resgate pelos seus próprios ataques. Neste cada vez mais dinâmico e especializado panorama de ameaça cibernética, pode ser difícil para organizações para se manterem a par das ferramentas e métodos sempre em mudança dos atacantes. dos atacantes. É importante que eles saibam o que em cada fase da cadeia de ataque, para que possam detectar e neutralizar os ataques tão rapidamente e neutralizá-los o mais rapidamente possível".
Permanecer no poder por mais tempo nas pequenas empresas e no sector da educação
A investigação da Sophos também mostra que o tempo de permanência de
os atacantes eram mais compridos nas empresas mais pequenas do que nas maiores.
Os cibercriminosos permaneceram em empresas com até 250 empregados durante
durante cerca de 51 dias. Em comparação, em empresas com 3.000 a 5.000 empregados, geralmente gastaram
a 5.000 empregados, eles geralmente passaram "apenas" 20 dias.
Os ataques de resgate representam um caso especial. Aqui, os criminosos agem no seu conjunto
mais "rápido" em geral, mas também aqui a permanência não detectada na rede aumentou de
11 dias em 2020 a 15 dias em 2021.
Maiores empresas mais "valiosas"para os cibercriminosos , a jugular pelo espaço
na rede
"Os atacantes consideram que as organizações maiores são mais valiosas e são, portanto
motivados a entrar rapidamente e a sair rapidamente.
desaparecer. As organizações mais pequenas têm um "valor" mais baixo, de modo a que
os intrusos podem dar-se ao luxo de ficar mais tempo em segundo plano na rede.
rede. No entanto, é também possível que estes atacantes tenham
menos experiência e, portanto, passar mais tempo na rede
de batedores. As empresas mais pequenas também tendem a ter
têm menos percepção da cadeia de ataque para detectar e dispersar os ataques.
Dissipá-los. Isto também prolonga a presença dos atacantes", disse Shier.
"Com as oportunidades apresentadas pelo ProxyLogon não corrigido e
Vulnerabilidades do ProxyShell, e o surgimento dos IABs, estamos a ver
múltiplos atacantes na mesma rede alvo", acrescentou ele.
rede. Quando as coisas ficam apertadas lá, eles querem avançar rapidamente para se adiantarem à sua
concorrentes a emergir".
O tempo médio de permanência até à detecção era mais longo para ataques "furtivos" que não tinham evoluído para um grande ataques como os resgates, e para organizações mais pequenas com menos recursos de segurança informática. O tempo médio de permanência de atacantes em organizações que tinham sido atingidas por resgates era de 15 dias. Para organizações que tinham sido violadas mas que ainda não tinham sido afectadas por um ataques como os resgates (23% de todos os casos examinados), a média casos), o tempo médio de permanência foi de 34 dias. Para organizações no sector da educação ou com menos de 500 empregados, o tempo de permanência foi também mais longo. era também mais longo.
Tempos de permanência mais longos e pontos de entrada abertos fazem organizações vulneráveis a múltiplos atacantes. Os peritos forenses Sophos descobriram casos onde múltiplos atacantes, incluindo os IABs, Ransomware-Banden, cryptominer, e ocasionalmente até vários grupos de resgate, dirigidos à mesma organização ao mesmo tempo. visavam a mesma organização
Apesar de um declínio na utilização do Remoto Protocolo Desktop (RDP) para acesso externo, os atacantes utilizavam cada vez mais a ferramenta para rede cada vez mais utilizou a ferramenta para entrar sorrateiramente na rede. Em 2020, os atacantes utilizaram o RDP para actividades externas em 32% dos casos analisados. Esta quota Esta mudança é de saudar e sugere que as empresas são e sugere que as empresas melhoraram a sua gestão das superfícies de ataque externo, os atacantes são superfícies de ataque, mas os atacantes continuam a abusar do RDP para movimentos laterais. Sophos descobriu que em 2021, os atacantes irão utilizar o RDP 82 por cento do tempo para o reconhecimento interno da rede, contra 69 por cento em Jahr 2020.
Combinações comuns de ferramentas utilizadas em ataques são um claro sinal de aviso de ataques cibernéticos. O é um sinal claro de aviso de ataques informáticos. investigações de incidentes revelaram, por exemplo, que em 2021, 64% dos PowerShell e scripts maliciosos não-PowerShell foram utilizados em conjunto em 64 por cento dos foram utilizados em conjunto. PowerShell e Cobalt Strike foram utilizados em 56 por cento dos casos. PowerShell e PsExec foram encontrados em combinação 51 por cento das vezes. dos casos. A detecção de tais correlações pode servir como um aviso precoce de um ataque iminente ou confirmar a presença de um ataque activo. de um ataque activo.
50 por cento dos incidentes de resgate envolvidos confirmaram a exfiltração de dados. confirmação da exfiltração de dados. Para os dados disponíveis, a o intervalo médio entre o roubo de dados e a utilização de resgates foi de 4,28 dias. O resgate de dados foi de 4,28 dias. 73 por cento dos incidentes a que Sophos respondeu em 2021 envolveu resgates. Destes incidentes de resgate, 50 por cento também envolveram por cento também envolveu a exfiltração de dados. Este movimento de dados é frequentemente a fase final do ataque antes de o resgate ser libertado.
Conti foi o grupo de resgate mais comum em 2021, sendo responsável por 18% de todos os incidentes. Grupo Ransomware. O REvil ransomware foi responsável por um em cada dez incidentes. Outras famílias de resgates comuns incluem. DarkSide (o RaaS por detrás do infame ataque dos Tubos Coloniais nos EUA) e Black KingDom, um dos "novos" grupos que surgiram em Março de 2021, na sequência do Surgiu a vulnerabilidade do ProxyLogon. Dos 144 incidentes incluídos na análise Sophos identificou 41 atacantes de resgates diferentes. Destes 28 foram os novos actores vistos pela primeira vez em 2021. Dezoito Os grupos de resgate que apareceram em incidentes em 2020 já não faziam parte da lista em 2021. na lista em 2021.
O Livro de Jogadas Sophos Active Adversary 2022 é baseado no. 144 incidentes de 2021, visando empresas de todas as dimensões e indústrias nos EUA, Canadá, Reino Unido, Alemanha, Itália, Espanha, França, Suíça, Bélgica, Países Baixos, Áustria, Emirados Árabes Unidos, Arábia Saudita, Reino Unido, e Reino Unido. Emirados, Arábia Saudita, Filipinas, Bahamas, Angola e Japão. alvo. Os sectores com maior representação são a indústria transformadora (17%), seguido do comércio a retalho (14%), cuidados de saúde (13%) (13 por cento), TI (9 por cento), construção (8 por cento) e educação (6 por cento). (6 por cento).
Benefícios concretos para a indústria da segurança informática
O objectivo do relatório Sophos é que as equipas de segurança compreendam como
como os cibercriminosos atacam e como detectar e defender-se contra a actividade maliciosa no
e como detectar e defender-se contra a actividade maliciosa na rede. Um resultado destas investigações é
o estabelecimento crescente dos chamados ecossistemas de segurança informática - uma estratégia que
Sophos está também a implementar esta estratégia com o seu Adaptive
Cybersecurity Ecosystem (ACE). Baseia-se nos dados recolhidos
dados de ameaças da SophosLabs, Sophos Security Operations (Operações de Segurança Sophos
analistas envolvidos em milhares de ambientes de clientes através da Sophos Managed Threat
ambientes do cliente através do programa Sophos Managed Threat Response) e do Sophos Artificial
Sophos. Um lago de dados único e integrado reúne informações de todos os Sophos
soluções e fontes de informação sobre ameaças. Análise em tempo real
permitir que os defensores evitem intrusões, encontrando sinais suspeitos.
sinais. Em paralelo, as APIs abertas permitem aos clientes, parceiros e
desenvolvedores para desenvolver ferramentas e soluções que interajam com o sistema.
Tudo é gerido de forma centralizada através da plataforma Sophos Central Management.