O novo relatório da Sophos, o Active Adversary 2025, revela que os hackers levam menos de 11 horas para assumir o controle de uma organização. Além disso, em 56% dos ataques em que a empresa atuou para proteger as companhias, os criminosos entraram por meio de credenciais roubadas de funcionários.
A pesquisa detalha o comportamento e as técnicas dos invasores em mais de 400 casos de Detecção e Resposta Gerenciada (MDR) e Resposta a Incidentes (IR) em 2024. O relatório descobriu que a principal maneira pela qual os atacantes tiveram acesso inicial às redes – 56% de todos os casos em MDR e IR – foi explorando serviços remotos externos, o que inclui dispositivos de borda, como firewalls e VPNs, utilizando contas válidas.
A combinação de serviços remotos externos e contas válidas está alinhada com as causas primordiais dos ataques. Pelo segundo ano consecutivo, as credenciais comprometidas foram a principal origem das invasões (41% dos casos), seguido por exploração de vulnerabilidades (21,79%) e ameaças de força bruta (21,07%).
Entendendo a velocidade dos ataques
Ao estudar as investigações de MDR e IR, a equipe do Sophos X-Ops analisou especificamente os casos de ransomware, extração e extorsão de dados para identificar a rapidez com que os invasores progrediram pelos estágios de um ataque dentro de uma organização. Nesses três tipos de casos, o tempo médio entre o início e a extração foi de apenas 72,98 horas, equivalente a 3,04 dias. Além disso, houve uma média de apenas 2,7 horas entre a obtenção do arquivo e a detecção da ameaça.
"A segurança passiva não é mais suficiente. Embora a prevenção seja essencial, a resposta rápida é fundamental. As organizações devem monitorar ativamente as redes e agir rapidamente contra a telemetria observada. Ataques articulados por adversários motivados exigem uma defesa coordenada. Para muitas corporações, isso significa combinar conhecimento específico do negócio com detecção e resposta lideradas por especialistas. Nosso relatório confirma que as instituições com monitoramento proativo detectam ameaças mais rapidamente e obtêm melhores resultados", afirma John Shier, CISO de campo da Sophos.
Outras descobertas importantes do relatório Sophos Active Adversary 2025:
Os invasores podem assumir o controle de um sistema em apenas 11 horas: o tempo médio entre a ação inicial dos atacantes e sua primeira tentativa, muitas vezes bem-sucedida, de violar o Active Directory (AD) – sem dúvida um dos ativos mais importantes em qualquer rede Windows – foi de apenas 11 horas. Se concluídos com êxito, os invasores podem assumir o controle da organização com mais facilidade.
Principais grupos de ransomware nos casos da Sophos: o Akira foi o grupo de ransomware encontrado com mais frequência em 2024, seguido pelo Fog e pelo LockBit – apesar da derrubada do último por vários governos no início do ano.
O tempo de permanência caiu para apenas dois dias: no geral, o tempo de permanência – isto é, entre o início de um ataque e sua detecção – diminuiu de quatro para apenas dois dias em 2024, grande parte devido à adição de casos de MDR ao conjunto de dados.
Tempo de permanência em casos de IR: o tempo de permanência se manteve estável em quatro dias para ataques de ransomware e 11,5 dias para casos sem ransomware.
Tempo de espera em casos de MDR: nas investigações de MDR, o tempo de permanência foi de apenas três dias para casos de ransomware e apenas um dia para os sem ransomware, sugerindo que as equipes de MDR são capazes de detectar e responder mais rapidamente aos ataques.
Grupos de ransomware trabalham durante a noite: em 2024, 83% dos arquivos binários de ransomware foram lançados fora do horário comercial dos alvos.
O protocolo de área de trabalho remota continua dominando: o Remote Desktop Protocol (RDP) esteve envolvido em 84% dos casos de MDR e IR, o que o torna a ferramenta da Microsoft mais frequentemente utilizada.
