Analysis
Estudo da Sophos também concluiu que as causas de ataques mais comuns foram as vulnerabilidades não corrigidas e credenciais comprometidas
01/05/2023
A Sophos divulgou o seu Active Adversary Report for Business Leaders, uma análise detalhada das mudanças de comportamento e técnicas de ataque dos adversários em 2022. Os dados, analisados a partir de mais de 150 casos da equipa Sophos Incident Response (IR), identificaram mais de 500 ferramentas e técnicas diferentes, incluindo 118 binários “Living off the Land” (LOLBins). Ao contrário do malware, os LOLBins são executáveis que se encontram naturalmente nos sistemas operacionais, tornando-os muito mais difíceis de bloquear pelos defensores quando os invasores os exploram para atividades maliciosas. Para além disso, a Sophos descobriu que as vulnerabilidades não corrigidas foram a causa mais comum para os invasores obterem acesso inicial aos sistemas das vítimas. Na verdade, em metade das investigações incluídas no relatório, os invasores exploraram as vulnerabilidades ProxyShell e Log4Shell — vulnerabilidades de 2021 — para se infiltrarem nas organizações. A segunda causa de ataques mais comum foram as credenciais comprometidas. “Quando os atacantes atuais não estão a invadir os sistemas, é porque estão a fazer login neles. A realidade é que o ambiente de ameaças cresceu em volume e complexidade, ao ponto de não haver lacunas percetíveis para os defensores explorarem. Para a maioria das organizações, tal já não é possível sem apoio externo. Está realmente tudo a acontecer, em todos os lugares e ao mesmo tempo. No entanto, existem ferramentas e serviços disponíveis que podem ajudar as empresas a aliviar parte do ‘fardo’ da defesa, permitindo que se foquem nas suas principais prioridades de negócios”, comentou John Shier, Field CTO, Commercial da Sophos. Contudo, embora o ransomware ainda domine o cenário de ameaças, em 2022 o tempo de permanência dos invasores diminuiu de 15 para 10 dias, em todos os tipos de ataques. No caso do ransomware, diminuiu de 11 para 9 dias, mas a quebra foi ainda maior para ataques sem ransomware – de 34 dias em 2021 para apenas 11 dias em 2022. No entanto, ao contrário dos anos anteriores, não se registou uma variação significativa nos tempos de permanência entre setores ou organizações de diferentes dimensões. “As organizações que implementaram com sucesso defesas em camadas com monitorização constante estão a conseguir melhores resultados no que toca à gravidade dos ataques. O efeito secundário das defesas melhoradas é que os adversários precisam de acelerar o seu trabalho para concluir os ataques; assim sendo, ataques mais rápidos requerem deteção mais precoce também. A corrida entre atacantes e defensores vai continuar a escalar e as empresas sem monitorização proativa vão sofrer as maiores consequências”, alertou John Shier. O Active Adversary Report for Business Leaders da Sophos baseou-se em 152 investigações de resposta a incidentes (IR) em empresas de 22 setores em todo o mundo. As organizações estavam localizadas em 31 países, incluindo EUA e Canadá, Reino Unido, Alemanha, Suíça, Itália, Áustria, Finlândia, Bélgica, Suécia, Roménia, Espanha, Austrália, Nova Zelândia, Singapura, Japão, Hong Kong, Índia, Tailândia, Filipinas, Catar, Bahrein, Arábia Saudita, Emirados Árabes Unidos, Quénia, Somália, Nigéria, África do Sul, México, Brasil e Colômbia. Os setores mais representados são a produção industrial (20%), a saúde (12%), a educação (9%) e o retalho (8%). |