Ciberataque Irã

79% dos ataques começam com credenciais comprometidas

A identidade se tornou o vetor de acesso inicial dominante para ataques de ransomware, com quatro em cada cinco incidentes (79%) tendo origem em credenciais comprometidas, segundo o sétimo relatório anual State of Ransomware da Sophos. A pesquisa independente, conduzida com líderes de TI e cibersegurança em 17 países, revela que, pela primeira vez em quatro anos, vulnerabilidades exploradas deixaram de ser a causa raiz, cedendo lugar a e-mails maliciosos (26%) e phishing (24%) como principais métodos de ataque.

O relatório, publicado em 15 de julho, constatou ainda que das organizações atingidas, 56% tiveram seus dados criptografados, um aumento que reverteu uma tendência de queda de dois anos. Dois terços das vítimas confirmaram que o incidente de ransomware representou também o ataque de identidade mais significativo que sofreram, consolidando o comprometimento de credenciais como um dos principais mecanismos de disseminação.

“A predominância dos ataques de identidade no ransomware indica uma mudança no método, à medida que os invasores reconhecem cada vez mais a identidade como um componente chave na entrega de ransomware”, afirmou Ross McKerchar, Chief Information Security Officer (CISO) da Sophos. Ele alerta que, com o uso crescente de inteligência artificial pelos criminosos, a tecnologia tem o potencial de acelerar o roubo de ativos valiosos e a execução de ataques em escala muito superior. “Os defensores não podem depender apenas da aplicação de correções para acompanhar esse ritmo; por isso, reduzir a superfície de exposição externa e manter uma proteção robusta nos endpoints é fundamental”, acrescentou McKerchar.

Recuperação e pagamentos

Embora os ataques persistam, as organizações avançaram na recuperação: mais da metade (55%) consegue se recuperar em até uma semana, e 16% retomam as operações em menos de um dia. A demanda mediana de resgate caiu 65% nos últimos dois anos, e a proporção de organizações que pagaram recuou para 48% . Entre as que pagaram, 51% conseguiram negociar um valor inferior ao inicialmente exigido. No entanto, o custo médio de recuperação após um ataque aumentou para US$ 1,7 milhão por incidente.

A autenticação multifator (MFA) foi implementada em 97% dos incidentes com credenciais comprometidas, o que, segundo a Sophos, reforça que a MFA, por si só, não é suficiente e que lacunas em sua cobertura aumentam a exposição. O Reino Unido registrou a maior demanda mediana de resgate: US$ 2,5 milhões.

Recomendações da Sophos

A empresa recomenda que as organizações tratem a identidade como camada fundamental de segurança, priorizando soluções de Identity Threat Detection and Response (ITDR) e implementando MFA resistente a phishing em todos os pontos de acesso. Além disso, sugere investir em infraestrutura de backup e recuperação com testes regulares, manter programas contínuos de gerenciamento de exposição com política rigorosa de patches, e reduzir a superfície de exposição por meio de firewalls com atualizações automatizadas e integração com soluções de XDR e MDR.