Ataques de identidade estiveram envolvidos em 60% dos incidentes registrados em 2024 pela Cisco Talos, aparecendo em todas as fases do ciclo de vida do ataque. Essa conclusão está no relatório Talos 2024 Year in Review, com base na telemetria de mais de 46 milhões de dispositivos em 193 países e regiões, analisando mais de 886 bilhões de eventos de segurança diariamente.
Leia também
Desafio: proteger a identidade de máquinas
Método identifica ransomware em logs do Windows
O relatório indica que os cibercriminosos não precisaram de zero-days ou malware personalizado para causar estragos: eles apenas fizeram login, com ataques baseados em identidade, uso indevido de ferramentas legítimas e vulnerabilidades antigas. Os invasores frequentemente usavam credenciais válidas e ferramentas nativas, não novos malwares chamativos. Onde a identidade não estava envolvida, vulnerabilidades antigas eram exploradas, algumas com décadas de idade. Para ransomware e bypass de autenticação multifator, a identidade era o principal caminho de acesso.
A identidade foi central em todas as fases do ataque: acesso, escalonamento, movimento lateral e persistência. Dos incidentes baseados em identidade, o Active Directory foi o alvo em 44% dos casos, enquanto comprometimentos de interface de programação de aplicativo em nuvem foram responsáveis por 20% dos incidentes relacionados à identidade.
As motivações de ataques baseados em identidade incluíram ransomware em 50%, coleta e revenda de credenciais em 32%, espionagem em 10% e fraude financeira em 8%.
