Tudo sobre o relatório Active Adversary da Sophos

O nosso relatório semestral Active Adversary Report analisou especificamente os padrões e desenvolvimentos que observámos durante a primeira metade do ano – a guerra entre atacantes e defensores continuou, como sempre, mas observámos uma atividade notável mais além da superfície.

Os dados deste relatório resultam de casos tratados no primeiro semestre de 2024 pela nossa equipa externa de resposta a incidentes (IR) e pela equipa de resposta que lida com casos críticos que ocorrem nos nossos clientes de Managed Detection and Response (MDR).

Como temos visto invariavelmente desde que começámos a publicar este relatório em 2021, o setor da produção industrial foi o mais propenso a pedir serviços de resposta, embora a percentagem de clientes do setor tenha caído drasticamente (25% em 2023 vs 14% agora). Os outros setores com mais pedidos foram o da construção (10%), educação (8%), TI (8%) e saúde (7%), num total de 29 diferentes.

Crescimento da utilização de LOLbins

Os LOLbins (binários que são utilizados de forma maldosa, mas que são legítimos, já presentes na máquina, ou descarregados de fontes legítimas associadas ao sistema operativo) sempre figuraram nos nossos relatórios Active Adversary. Comparamo-los com aquilo a que chamamos “artefactos”, que são pacotes de terceiros introduzidos ilegitimamente no sistema pelos atacantes (por exemplo, mimikatz, Cobalt Strike, AnyDesk). Os LOLbins são ficheiros legítimos, estão assinados e, quando utilizados de forma aparentemente benigna, têm menos probabilidades de atrair a atenção do administrador do sistema.

Este ano, assistimos a um aumento modesto da utilização e da variedade de artefactos, mas o aumento de LOLbins é impressionante, sobretudo no Windows, embora também vejamos abusos noutros sistemas operativos. Na primeira metade de 2024, encontrámos 187 LOLbins Microsoft únicos entre os nossos 190 casos – um aumento de 51% em relação aos números de 2023.

A liderar, como sempre, está o RDP, seguido do cmd.exe, PowerShell e net.exe, mas encontrámos 29 LOLbins específicos em pelo menos 10% dos casos; um aumento substancial em relação à distribuição do ano passado, em que apenas 15 dos 124 LOLbins únicos detetados apareceram em mais de 10% dos casos.

Para as equipas de defesa, esta mudança nas ferramentas significa que não é suficiente simplesmente monitorizarem a rede para detetarem elementos que não lhe pertença. Mais do que nunca, é crucial saber quem está na sua rede e o que está a fazer – por exemplo, se um membro da equipa de RH estiver a utilizar o LOLbin Powershell, talvez se deva desconfiar de um ataque.

Não podemos não falar de ransomware

Voltando a nossa atenção para o ransomware, pudemos concluir que nem sempre a eliminação de grupos de ransomware de alto perfil leva a uma diminuição da prevalência destes ataques.

De acordo com a nossa experiência, em alguns anos há uma marca de ransomware dominante que eclipsa as outras, e noutros os casos são distribuídos de forma relativamente uniforme por várias. No entanto, a primeira metade de 2024 não refletiu este padrão: o LockBit foi o ransomware dominante de 2023, mas o grupo sofreu um ‘takedown’ das autoridades em fevereiro de 2024. Apesar disso, continuou a ser o ransomware dominante na primeira metade do ano.

Em última análise, as ações judiciais não fazem uma grande mossa no panorama geral do ransomware: perturbam o agente da ameaça visada, mas não param permanentemente a maioria das entidades envolvidas; o grande número de outras marcas que disputam a sua posição preenche o vazio.

De um modo geral, as infeções por ransomware diminuíram ligeiramente no primeiro semestre do ano (presente em 61.54% dos casos tratados vs 70.13% em 2023). A diferença foi mais do que compensada pelas violações de rede, que quase duplicaram a sua incidência nos casos de IR (34.62% no 1S24 vs 18.83% em 2023). Um exame atento de todos os dados de que dispomos leva-nos a suspeitar que o declínio, embora real, não será tão pronunciado quando forem analisados os números do ano inteiro.

Para conhecer em detalhe estas e outras conclusões do nosso mais recente relatório, por favor visite o nosso website.

Conteúdo co-produzido pela MediaNext e pela Sophos