Desde o lançamento do relatório Active Adversary da empresa, em 2021, serviços remotos externos foram o principal modo pelo qual golpistas iniciaram invasões
A Sophos, líder global em soluções inovadoras de segurança que evitam ataques cibernéticos, publicou o estudo Active Adversary: "It's Oh So Quiet (?): The Sophos Active Adversary Report for 1H 2024", no qual analisa mais de 150 casos de resposta a incidentes (IR) tratados pela equipe multioperacional Sophos X-Ops em 2023. De acordo com o relatório, os cibercriminosos abusaram do protocolo de área de trabalho remota (RDP) – método comum para estabelecer acesso remoto em sistemas Windows – em 90% dos ataques. Essa foi a maior incidência de exploração de RDP desde que a companhia começou a divulgar os relatórios Active Adversary em 2021, que considerou achados de 2020.
Além disso, os serviços remotos externos, como o próprio RDP, foram os meios mais comuns pelos quais os atacantes iniciaram as violações das redes – modo utilizado em 65% dos casos de IR em 2023. De acordo com a Sophos, por conta da alta frequência de uso desse método, as equipes de defesa devem considerar isso um sinal claro para priorizar esse gerenciamento ao avaliar os riscos para as empresas.
"Os mecanismos remotos externos são um requisito necessário porém arriscado para muitas organizações. Os golpistas entendem as vulnerabilidades que eles trazem e procuram ativamente sabotá-los por conta das recompensas que podem oferecer. A exposição sem uma avaliação cuidadosa e sem atenuação de riscos resulta, inevitavelmente, no comprometimento. Não leva muito tempo para um invasor encontrar e violar um servidor RDP exposto e, sem controles adicionais, tambémfica fácil acessar a infraestrutura Active Directory, banco de dados que conecta os usuários aos recursos da rede", afirma John Shier, CTO de campo da Sophos.
Um caso de um cliente analisado pela equipe do Sophos X-Ops mostrou que os golpistas comprometeram a rede da vítima quatro vezes em um período de seis meses, sempre obtendo acesso inicial por meio de portas expostas de RDP. Uma vez dentro, os atacantes continuaram a se mover lateralmente, baixando arquivos binários maliciosos, desativando a proteção de endpoints e estabelecendo acesso remoto.
Credenciais comprometidas e exploração de vulnerabilidades ainda são as duas principais causas de ataques mais comuns. No entanto, o estudo 2023 Active Adversary Report for Tech Leaders, lançado em agosto do ano passado pela Sophos, constatou que, no primeiro semestre, pela primeira vez, as credenciais comprometidas ultrapassaram as vulnerabilidades como a causa raiz mais frequente dos ataques. Essa tendência continuou até o final de 2023, no qual o comprometimento das identificações foi a causa de mais de 50% dos casos de resposta a incidentes durante todo o ano. Ao analisar os dados do Active Adversary de forma cumulativa entre 2020 e 2023, essa modalidade também foi a principal causa de ataques em todo o período, envolvida em quase um terço de todos os casos de IR. Entretanto, apesar dessa prevalência histórica, em 43% dos incidentes as organizações não tinham autenticação multifator configurada.
A exploração de vulnerabilidades foi a segunda causa mais comum de ataques, tanto em 2023 quanto no acumulado de 2020 a 2023, sendo a razão principal em 16% e 30% dos casos de IR, respectivamente.
"O gerenciamento de riscos é um processo ativo. As organizações que fazem esse trabalho de forma eficiente apresentam melhores condições de segurança do que aquelas que não o fazem. Um aspecto importante ao gerenciar riscos de segurança, além de identificá-los e classificá-los por ordem de prioridade, é agir com base nas informações. No entanto, por muito tempo, certos riscos, como o RDP aberto, continuam a atormentar as organizações, para o deleite dos invasores que conseguem entrar pela porta da frente de uma instituição. Proteger a rede reduzindo os serviços expostos e vulneráveis, além de fortalecer a autenticação, tornará as empresas mais seguras e capazes de combater os ciberataques", completa Shier.
O Active Adversary Report da Sophos para o primeiro semestre de 2024 é baseado em mais de 150 investigações de resposta a incidentes (IR) em todo o mundo, em 26 setores. As organizações analisadas estão localizadas em 23 países diferentes, incluindo Estados Unidos, Canadá, México, Colômbia, Reino Unido, Suécia, Suíça, Espanha, Alemanha, Polônia, Itália, Áustria, Bélgica, Filipinas, Singapura, Malásia, Índia, Austrália, Kuwait, Emirados Árabes Unidos, Arábia Saudita, África do Sul e Botsuana.
Para saber mais sobre o cenário atual dos adversários, leia It's Oh So Quiet (?): The Sophos Active Adversary Report para o 1º semestre de 2024 em Sophos.com.