Tempo de duração de invasor nas redes aumenta 36% em 2021

Da Redação
09/06/2022

Os operadores de ameaças passaram, em média, 15 dias dentro das redes das vítimas no ano passado, um aumento de mais de um terço em relação ao ano anterior, de acordo com a Sophos. A revelação está no relatório Active Adversary Playbook 2022 publicado a partir de dados de 144 casos coletados pelas equipes de resposta a incidentes da fornecedora global de sistemas de segurança.

De acordo com o estudo, o aumento no tempo de permanência se deve principalmente à exploração das vulnerabilidades ProxyLogon e ProxyShell no ano passado e ao surgimento de agentes de acesso inicial (IABs) como parte integrante do submundo do crime cibernético. O tempo de permanência foi maior para organizações menores: 51 dias em pequenas e médias empresas (PMEs), com até 250 funcionários, versus 20 dias em organizações com 3 mil a 5 mil funcionários.

“Os invasores consideram as organizações maiores mais valiosas, por isso estão mais motivadas a entrar, conseguir o que querem e sair. Organizações menores têm menos ‘valor’ percebido, então os invasores podem se dar ao luxo de se esconder na rede em segundo plano por um período mais longo”, argumenta o consultor sênior de segurança da Sophos, John Shier. “Também é possível que esses invasores fossem menos experientes e precisassem de mais tempo para descobrir o que fazer quando estivessem dentro da rede. Por fim, as organizações menores normalmente têm menos visibilidade ao longo da cadeia de ataque para detectar e ejetar invasores, prolongando sua presença”, completou.

Em muitos casos investigados pela Sophos, vários cibercriminosos, incluindo operadores de ransomware, IABs, criptomineradores e outros, atacaram as mesmas organizações simultaneamente. “Se estiver lotado em uma rede, os invasores irão se mover rapidamente para vencer a concorrência”, disse Shier.

Veja isso
Ransomware: da invasão ao resgate em menos de 45 minutos
SolarWinds: invasão começou em 2019

Os dados são um pouco distintos dos números da Mandiant, divulgados em abril, que revelaram que o tempo de permanência diminuiu globalmente em quase 13% no mesmo período, para 21 dias. No entanto, embora a queda percentual tenha sido ainda maior na região da Europa, Oriente Médio e África (EMEA), ela ficou em 48 dias em 2021.

A detecção e a resposta avançadas parecem ser incipientes em muitas organizações. Embora a Sophos tenha visto um declínio na exploração de Remote Desktop Protocol (RDP) para acesso inicial, de 32% em 2020 para 13% no ano passado, seu uso em movimentação lateral aumentou de 69% para 82% no período.

Outras ferramentas e técnicas comumente detectadas foram: PowerShell e scripts maliciosos não-PowerShell, combinados em 64% dos casos; PowerShell e Cobalt Strike (56%); e PowerShell e PsExec (51%).A Sophos disse que detectar a presença de tais correlações pode ajudar as empresas a identificar os primeiros sinais de alerta de uma violação.

Compartilhar: