Hackers passam mais de 250 horas nas redes das vítimas sem serem detetados

A Sophos lançou o “Active Adversary Playbook 2021”, que detalha os comportamentos dos atacantes e as ferramentas, técnicas e procedimentos (TTP, na sua sigla em inglês) que os threat hunters e especialistas de resposta a incidentes da Sophos viram em ação em 2020. Os dados de deteção de TTP também são relativos ao início de 2021.

Os resultados demonstram que o tempo de permanência médio dos atacantes antes da deteção foi de 11 dias – ou 264 horas – sendo que a intrusão sem deteção mais longa durou 15 meses. O ransomware foi utilizado em 81% dos incidentes e outros 69% utilizaram também o Remote Desktop Protocol (RDP) para movimentação lateral dentro da rede.

Este playbook baseia-se em telemetria da Sophos, bem como em 81 investigações de incidentes e contribuições das equipas da Sophos de Managed Threat Response (MTR), composta por threat hunters e analistas, e de Rapid Response, da qual fazem parte especialistas de resposta a incidentes. O seu objetivo é ajudar as equipas de segurança a compreender o que os criminosos fazem durante os ataques e como podem detetar e defender-se de atividade maliciosa na sua rede.

As principais conclusões do playbook incluem:

• O tempo médio de permanência dos atacantes antes da detenção foi de 11 dias. Para contextualizar este dado, 11 dias proporcionam aos atacantes 264 potenciais horas para despender em atividades maliciosas, como movimentação lateral, reconhecimento, dumping de credenciais, extração de dados e outras. Considerando que algumas destas atividades podem ser implementadas em apenas alguns minutos ou horas – muitas vezes durante a noite ou fora dos horários normais de trabalho – 11 dias representam muito tempo para os atacantes causarem danos na rede de uma organização. É também importante notar que os ataques de ransomware tendem a apresentar um tempo de permanência mais curto do que os ataques de “roubo”, porque o seu objetivo primordial é a destruição.
• 90% dos ataques registados envolveu a utilização do Remote Desktop Protocol (RDP) – e em 69% do total de casos, os atacantes utilizaram o RDP para movimentação lateral dentro da rede. As medidas de segurança para RDP, como VPNs e autenticação multifator, tendem a focar-se na proteção contra o acesso externo. No entanto, não funcionam se o atacante já estiver dentro da rede. A utilização do RPD para movimentação lateral dentro da rede está a tornar-se cada vez mais comum em ataques ativos com intervenção humana, como os que envolvem ransomware.
• Surgem correlações interessantes entre as cinco principais ferramentas encontradas nas redes das vítimas. Por exemplo, quando se utilizou PowerShell num ataque, o software Cobalt Strike foi registado em 58% dos casos, o PsExec em 49%, a aplicação Mimikatz em 33% e o software GMER em 19%. O Cobalt Strike e o PsExec foram utilizados em conjunto em 27% dos ataques, enquanto a Mimikatz e o PsExec foram também registados juntos em 31% dos ataques. Por fim, a combinação de Cobalt Strike, PowerShell e PsExec ocorreu em 12% do total de ataques. Estas correlações são importantes porque a sua deteção pode servir de aviso prévio de que um ataque está iminente, ou confirmar a presença de um ataque ativo.
• 81% dos ataques investigados pela Sophos envolveu a utilização de ransomware. A implementação do ransomware é frequentemente o momento em que um ataque se torna visível para a equipa de segurança de TI. Dessa forma, não é surpreendente que a grande maioria dos incidentes a que a Sophos deu resposta tenham envolvido ransomware. Outros tipos de ataques investigados pela empresa incluem apenas extração de dados, cryptomining, Trojans para o setor bancário, wipers, droppers, ferramentas pen test/ataque e outros.

“O panorama de ameaças está a tornar-se mais concorrido e complexo, com ataques implementados por adversários que possuem uma ampla variedade de capacidades e recursos, desde amadores com scripts até grupos apoiados por nações adversárias. Isto pode tornar a vida muito complicada para quem tenta defender-se”, afirmou John Shier, Senior Security Advisor da Sophos. “Ao longo do último ano, os nossos especialistas de resposta a incidentes ajudaram a neutralizar ataques levados a cabo por mais de 37 grupos de atacantes, que entre si utilizaram mais de 400 ferramentas diferentes. Muitas destas ferramentas são também utilizadas pelos gestores de TI e profissionais de segurança nas suas tarefas quotidianas, pelo que nem sempre é fácil detetar as diferenças entre a atividade benigna e maligna. Com os adversários a despender uma média de 11 dias na rede, implementando os seus ataques enquanto se ambientam com a atividade de TI de rotina, é crítico que as equipas de defesa compreendam os sinais de alerta a que devem prestar atenção e que devem investigar. Um dos alertas mais importantes, por exemplo, é quando uma ferramenta ou atividade legítimas são detetadas num local inesperado. Acima de tudo, as equipas de defesa devem lembrar-se de que a tecnologia pode fazer muitas coisas, mas, no atual panorama de ameaças, pode não ser suficiente por si só. A experiência e a capacidade de resposta humanas são uma parte vital de qualquer solução de segurança”.