Ransomware-1.jpg

Ransomware age um dia após o acesso inicial, indica relatório

Início do ataque até o comprometimento completo do sistema pode levar menos de 24 horas, reduzindo drasticamente a janela de detecção para as empresas
Da Redação
06/10/2023

O relatório anual State of the Threat Report da Secureworks indica que metade de todas as implantações de ransomware acontecem dentro de um dia após o acesso inicial. Isso significa que os operadores de ameaças podem progredir do início do ataque para o comprometimento completo do sistema em menos de 24 horas, reduzindo drasticamente a janela de detecção para as empresas.

O estudo foi compilado pela Secureworks Counter Threat Unit (CTU) e identifica as principais estratégias empregadas por cibercriminosos e operadores de ameaças patrocinados por Estados-nação em ataques cibernéticos. As descobertas incluem um aumento nos ataques de “nome e vergonha” em que os detalhes das vítimas são vazados online. Estes foram em grande parte impulsionados pela proliferação de gangues de ransomware como Lockbit e Clop. A Rússia tem direcionado ataques a campanhas de ajuda humanitária, pesquisadores científicos e fornecedores de armas.

O tempo médio de permanência do ransomware — entre o acesso inicial ao sistema e a implantação do ransomware — caiu de 4,5 dias para menos de um dia em um ano, de acordo com o relatório. Em alguns casos, o ransomware foi implantado dentro de cinco horas após o acesso inicial. Essa redução significativa é atribuída a estratégia entre os cibercriminosos de uma menor chance de detecção, já que os operadores de ameaças agora se concentram em operações mais simples e rápidas, em vez de eventos de criptografia complexos em toda a empresa. 

No entanto, o risco associado a esses ataques continua alto, de acordo com Don Smith, vice-presidente de inteligência de ameaças da CTU da Secureworks. Ele também observa que, apesar das remoções e sanções de alto perfil, os cibercriminosos continuam a se adaptar e representam uma ameaça significativa.

Enquanto operadores de ameaças notórios como Gold Mystic (Lockbit) ainda dominam o cenário de ransomware, novos grupos estão surgindo, trazendo um aumento significativo de vítimas e vazamentos de dados. Isso tornou os últimos quatro meses o período mais movimentado para o número de vítimas desde o início dos ataques de “nome e vergonha” em 2019.

O relatório identifica os três principais vetores de acesso inicial usados pelos invasores como varredura e exploração, credenciais roubadas e malware de commodities transmitido por meio de e-mails de phishing. Mais da metade das vulnerabilidades mais exploradas durante o período do relatório foram vulnerabilidades conhecidas de 2022 e anos anteriores. 

Veja isso
Ataques a PMEs elevam em 47% total de vítimas de ransomware
Maioria das empresas que usam RDP está exposta a ransomware

Apesar de muita discussão sobre ataques baseados em inteligência artificial (IA), a maioria dos ataques de alto perfil neste foi devido à infraestrutura não corrigida. Como Smith diz, “os cibercriminosos estão colhendo os frutos de métodos de ataque experimentados e testados, então as organizações devem se concentrar na higiene cibernética básica”.

O estudo também explora as atividades e tendências de grupos de ameaças patrocinados pela China, Rússia, Irã e Coreia do Norte. A geopolítica continua sendo a principal motivação por trás das atividades de ameaça patrocinadas por Estados-nação. Os avanços tecnológicos fizeram com que os países diversificassem táticas, com a China se concentrando no Leste Europeu e o Irã usando personas falsas para ocultar a ação. Enquanto isso, grupos de ameaças norte-coreanos fraudaram US$ 2,3 bilhões em criptoativos entre maio de 2017 e maio deste ano.

O relatório Secureworks State of the Threat fornece uma análise aprofundada do cenário global de ameaças de segurança cibernética em evolução no último ano. Ele é baseado nas observações de incidentes reais da Unidade de Contra-Ameaças da empresa e oferece uma visão crítica sobre as ameaças observadas na linha de frente da segurança cibernética.

Compartilhar:

Parabéns, você já está cadastrado para receber diariamente a Newsletter do CISO Advisor

Por favor, verifique a sua caixa de e-mail: haverá uma mensagem do nosso sistema dando as instruções para a validação de seu cadastro. Siga as instruções contidas na mensagem e boa leitura. Se você não receber a mensagem entre em contato conosco pelo “Fale Conosco” no final da homepage.

ATENÇÃO: INCLUA newsletter@cisoadvisor.com.br NOS CONTATOS DE EMAIL

(para a newsletter não cair no SPAM)