Estudo da companhia aponta que Invasores levam menos de um dia para penetrar ferramentas importantes das empresas e focam em intervalos fora do horário comercial

OXFORD, U.K. — Agosto 23, 2023 —

A Sophos, líder global em inovação e fornecimento de cibersegurança como serviço, lançou o estudo "Active Adversary Report for Tech Leaders 2023", uma análise aprofundada dos comportamentos e ferramentas utilizadas por criminosos durante o primeiro semestre de 2023. Com base em casos do serviço de identificação e neutralização imediata de ameaças da empresa, o Sophos Incident Response (IR), de janeiro a julho deste ano, a equipe do Sophos X-Ops descobriu que o tempo médio de permanência dos invasores – intervalo desde o início de um ataque até o momento em que ele é detectado – diminuiu de dez para oito dias, considerando todos os tipos de incidentes, e para cinco dias em casos de ataques de ransomware. Em 2022, este tempo médio de permanência foi reduzido de 15 para 10 dias.

Além disso, o Sophos X-Ops constatou que, em média, se leva menos de um dia – aproximadamente 16 horas – para que os invasores acessem o Active Directory (AD), uma das ferramentas mais cruciais para as empresas. O AD geralmente gerencia a identidade e o acesso aos recursos de uma organização, o que significa que os invasores podem utilizá-la para acessar informações preciosas de um sistema para fazer login e realizar uma ampla variedade de atividades maliciosas.

“Atacar a infraestrutura do AD de uma companhia faz sentido do ponto de vista ofensivo, afinal, ele é geralmente o sistema mais poderoso e privilegiado da rede, pois fornece amplo acesso a aplicativos, recursos e dados que os invasores podem explorar nos ataques. Quando os cibercriminosos têm poder sobre o AD, podem controlar toda a organização. O impacto, o escalonamento e a sobrecarga de recuperação de um ataque desse tipo são os motivos pelos quais esse servidor costuma ser o alvo”, explica John Shier, CTO de campo da Sophos.

“Acessar e obter controle da estrutura AD na cadeia de ataque oferece diversas vantagens aos invasores. Eles podem permanecer sem ser detectados para escolher o próximo movimento e, quando prontos, podem explorar a rede da vítima sem impedimentos. Por isso, a recuperação total de um domínio comprometido pode ser um esforço demorado e árduo. Tal incidente prejudica a base de segurança da qual a infraestrutura de uma organização depende e, muitas vezes, um ataque bem-sucedido ao AD significa que uma equipe de segurança precisa começar do zero", completa o executivo.

De acordo com o estudo da Sophos, o tempo de permanência em casos de incidentes de ransomware também diminuiu. Eles foram o tipo de ataque mais prevalente nas amostras analisadas, representando 69% das investigações, e o intervalo médio de permanência foi de apenas cinco dias. Em 81% dos casos envolvendo ransomware, a parte final do golpe foi lançada fora do horário comercial e, entre aqueles que foram implementados durante o horário de trabalho, poucos ocorreram em um dia de semana.

O número de ataques detectados ainda aumentou com o passar dos dias das semanas, principalmente ao examinar aqueles que envolvem ransomware. Quase metade (43%) deles foram identificados às sextas ou sábados.

"De certa forma, temos sido vítimas do nosso próprio sucesso. À medida que a adoção de tecnologias como o XDR e serviços como o MDR cresce, também aumenta a nossa capacidade de detectar ataques mais cedo. A redução dos tempos de detecção leva a uma resposta mais rápida, o que se traduz em um intervalo mais curto. Ao mesmo tempo, os criminosos têm aprimorado suas táticas, especialmente os grupos de ransomware experientes e com bons recursos, que continuam a acelerar os ataques diante de melhores defesas. Entretanto, isso não significa que estamos coletivamente mais seguros - ponto evidenciado pelo nivelamento dos tempos de permanência de ataques que não são de ransomware. Os invasores ainda estão entrando nas redes e, quando não há limite de tempo, eles tendem a demorar. Tal cenário mostra como é indispensável estar atento, com recursos e monitoramento proativo contínuo, para garantir que os criminosos sejam parados. São em casos como esses que ferramentas como o MDR podem realmente fechar a lacuna entre atacantes e defensores pois, mesmo que as empresas não estejam os observando, fornecedores de cibersegurança, como a Sophos, estão”, finaliza Shier.

O relatório "Active Adversary Report for Tech Leaders 2023" é baseado nas investigações de resposta a incidentes (IR) da Sophos e 25 setores ao redor do mundo, de janeiro a julho de 2023. As organizações-alvo estão localizadas em 33 países diferentes, em seis continentes. 88% dos casos vieram de organizações com menos de mil funcionários.

Para saber mais sobre comportamentos, ferramentas e técnicas de invasores, leia “Time Keeps on Slippin’ Slippin’ Slippin’: The 2023 Active Adversary Report for Tech Leaders” em sophos.com.

Sobre a Sophos

A Sophos é líder mundial em soluções inovadoras e avançadas em segurança que defendem contra ataques cibernéticos, incluindo o serviço MDR (Managed Detection and Response) e serviços de resposta a incidentes, além de um amplo portfólio de tecnologias de segurança de endpoint, rede, e-mail e nuvem. Uma das maiores provedoras globais pure-play de segurança cibernética, a Sophos se incumbe da defesa de mais de 600.000 organizações e de mais de 100 milhões de usuários contra adversários ativos, ransomwares, phishing, malwares e outros ataques. Os produtos e serviços da Sophos são interconectados através do painel de gerenciamento do Sophos Central e administrados pelo Sophos X-Ops, a unidade de inteligência de ameaças da empresa que oferece abrangência entre domínios. A inteligência do Sophos X-Ops otimiza todo o ecossistema de segurança cibernética adaptativa da Sophos, que inclui um Data Lake centralizado que se utiliza de um rico acervo de APIs abertas disponíveis para clientes, parceiros, desenvolvedores e outros fornecedores de cibersegurança e tecnologia da informação. A Sophos oferece Cybersecurity as a Service para as organizações que necessitam de soluções de segurança gerenciada. O cliente também pode gerenciar a sua própria segurança cibernética, utilizando a plataforma de operações de segurança da Sophos, ou operar seguindo uma abordagem híbrida para complementar suas equipes internas com os serviços da Sophos, como a caça e remediação de ameaças. A venda de produtos e serviços da Sophos é feita por parceiros revendedores e provedores de serviços gerenciados (MSP) em todo o mundo. A Sophos está sediada em Oxford, no Reino Unido. Mais informações se encontram disponíveis no site www.sophos.com.