O tempo médio para um invasor começar a se mover lateralmente dentro da rede após o comprometimento do dispositivo é de uma hora e 42 minutos, enquanto o tempo médio para um hacker acessar dados privados após um ataque de phishing é de uma hora e 12 minutos, de acordo com dados da Microsoft.
O mais recente relatório Cyber Signals da gigante da tecnologia revela também que a grande maioria (80%) dos ataques de ransomware ocorreu por erros comuns de configuração em software e dispositivos. O estudo se concentra no modelo de ransomware como serviço (RaaS) e afirma ter democratizado a capacidade de lançar ataques a grupos “sem sofisticação ou habilidades avançadas”. Alguns programas RaaS agora têm mais de 50 grupos afiliados, afirma a Microsoft.
Para os profissionais de segurança, um desafio importante é garantir que não deixem os sistemas mal configurados, acrescenta o estudo. “Os ataques de ransomware envolvem decisões tomadas em relação a configurações de redes e diferem para cada vítima, mesmo que a carga útil do ransomware seja a mesma.”
Ainda segundo o relatório, o ransomware culmina em um ataque que pode incluir exfiltração de dados e outros impactos. “Devido à natureza interconectada da economia cibercriminosa, intrusões aparentemente não relacionadas podem se acumular.”
Veja isso
Má configuração causou maioria de incidentes de nuvem em 2021
Grupo fragmentou Cobalt Strike em 154 partes para invasão
Embora cada ataque seja diferente, a Microsoft apontou produtos de segurança ausentes ou mal configurados e configurações herdadas em aplicativos corporativos como duas áreas principais de exposição a riscos. “Assim como os alarmes de fumaça contra incêndio, os produtos de segurança devem ser instalados nos espaços corretos e testados com frequência. É preciso verificar se as ferramentas de segurança estão operando com a configuração mais segura e se nenhuma parte de uma rede está desprotegida”, diz o relatório.
A Microsoft diz que é preciso também excluir aplicativos duplicados ou não utilizados para eliminar serviços arriscados e não utilizados. “Esteja ciente onde você permite aplicativos de suporte técnico remoto como o TeamViewer. Eles são notoriamente visados por operadores de ameaças para obter acesso expresso a laptops”, .
Embora não mencionado no relatório, outro sistema regularmente configurado incorretamente e sequestrado por agentes de ransomware é o protocolo de área de trabalho remota (RDP), que geralmente não é protegido por uma senha forte ou autenticação de dois fatores. Acredita-se que seja um dos três principais vetores de ataque.