Analysis
De acordo com o relatório da Sophos, a exploração de serviços remotos externos representa 56% dos casos detetados por MDR e IR em 2024
04/04/2025
|
A Sophos divulgou os resultados do relatório Sophos Active Adversary Report 2025, que detalha o comportamento e as técnicas utilizadas por atacantes em mais de 400 casos de Deteção e Resposta Geridas (MDR) e Resposta a Incidentes (IR) ao longo de 2024. O relatório destaca que a principal forma de acesso inicial às redes pelos cibercriminosos foi a exploração de serviços remotos externos, representando 56% dos casos detetados por soluções de MDR e IR. A combinação de serviços remotos externos e contas válidas comprometidas continua a ser uma das principais causas dos ataques. Pelo segundo ano consecutivo, as credenciais comprometidas foram a causa mais comum dos incidentes (41%), seguidas pelas vulnerabilidades exploradas (21,79%) e pelos ataques de força bruta (21,07%). A equipa Sophos X-Ops analisou investigações de MDR e IR para compreender a velocidade dos ciberataques, com especial foco em ransomware, exfiltração e extorsão de dados. Os dados indicam que, após o início de um ataque, a mediana de deteção da exfiltração foi de apenas 2,7 horas. “A segurança passiva já não é suficiente. Embora a prevenção seja essencial, a resposta rápida é crítica. As organizações devem monitorizar ativamente as redes e agir rapidamente contra a telemetria observada. Ataques coordenados por adversários motivados exigem uma defesa igualmente coordenada. Para muitas organizações, isto significa combinar o conhecimento específico do negócio com deteção e resposta orientadas por especialistas. O nosso relatório confirma que as organizações com monitorização proativa detetam os ataques mais rapidamente e obtêm melhores resultados”, refere John Shier, Field CISO da Sophos, em comunicado. O relatório revela ainda que os atacantes podem comprometer o Diretório Ativo em apenas 11 horas, facilitando o controlo total da organização. Em 2024, o grupo de ransomware mais frequente foi o Akira, seguido pelo Fog e pelo LockBit. O tempo médio de permanência dos ataques caiu para dois dias, sendo ainda menor nos casos de MDR – três dias para ransomware e apenas um dia para outros tipos de ataque. A maioria dos ataques de ransomware ocorreu fora do horário comercial (83%), e o Remote Desktop Protocol (RDP) foi o vetor de ataque mais utilizado, presente em 84% dos incidentes analisados. |
Receba todas as novidades na sua caixa de correio!
NEWS
Oracle confirma violação de dados de clientes em sistemas cloud
COMPLIANCE
Entre normas e exigências: Como navegar na cibersegurança da UE
OPINION
ClickFix: o golpe silencioso dos três cliques
THREATS
PDF representam 22% dos anexos maliciosos propagados por e-mail
NEWS
UE quer novo Cybersecurity Act
ANALYSIS
Segurança, privacidade e cenário complexo da IA impulsionam decisões sobre localização de dados
ANALYSIS
Análise a mais de cem mil ativos digitais revela aumento de vulnerabilidades impactantes
ANALYSIS
Exploração de serviços remotos externos lidera acessos iniciais em ciberataques
ANALYSIS
“A sensibilização em cibersegurança é inútil se as pessoas tiverem medo de assumir o que fizeram”
ANALYSIS
O papel essencial da gestao de identidades e acessos
