A Sophos lançou o estudo "Active Adversary Report for Tech Leaders 2023", uma análise aprofundada dos comportamentos e ferramentas utilizadas por criminosos durante o primeiro semestre de 2023.
Com base em casos do serviço de identificação e neutralização imediata de ameaças da empresa, o Sophos Incident Response (IR), de janeiro a julho deste ano, a equipe do Sophos X-Ops descobriu que o tempo médio de permanência dos invasores – intervalo desde o início de um ataque até o momento em que ele é detectado – diminuiu de dez para oito dias, considerando todos os tipos de incidentes, e para cinco dias em casos de ataques de ransomware. Em 2022, este tempo médio de permanência foi reduzido de 15 para 10 dias.
Além disso, o Sophos X-Ops constatou que, em média, se leva menos de um dia – aproximadamente 16 horas – para que os invasores acessem o Active Directory (AD), uma das ferramentas mais cruciais para as empresas. O AD geralmente gerencia a identidade e o acesso aos recursos de uma organização, o que significa que os invasores podem utilizá-la para acessar informações preciosas de um sistema para fazer login e realizar uma ampla variedade de atividades maliciosas.
"Atacar a infraestrutura do AD de uma companhia faz sentido do ponto de vista ofensivo, afinal, ele é geralmente o sistema mais poderoso e privilegiado da rede, pois fornece amplo acesso a aplicativos, recursos e dados que os invasores podem explorar nos ataques. Quando os cibercriminosos têm poder sobre o AD, podem controlar toda a organização. O impacto, o escalonamento e a sobrecarga de recuperação de um ataque desse tipo são os motivos pelos quais esse servidor costuma ser o alvo", explica John Shier, CTO de campo da Sophos.
"Acessar e obter controle da estrutura AD na cadeia de ataque oferece diversas vantagens aos invasores. Eles podem permanecer sem ser detectados para escolher o próximo movimento e, quando prontos, podem explorar a rede da vítima sem impedimentos. Por isso, a recuperação total de um domínio comprometido pode ser um esforço demorado e árduo. Tal incidente prejudica a base de segurança da qual a infraestrutura de uma organização depende e, muitas vezes, um ataque bem-sucedido ao AD significa que uma equipe de segurança precisa começar do zero", completa o executivo.
De acordo com o estudo da Sophos, o tempo de permanência em casos de incidentes de ransomware também diminuiu. Eles foram o tipo de ataque mais prevalente nas amostras analisadas, representando 69% das investigações, e o intervalo médio de permanência foi de apenas cinco dias. Em 81% dos casos envolvendo ransomware, a parte final do golpe foi lançada fora do horário comercial e, entre aqueles que foram implementados durante o horário de trabalho, poucos ocorreram em um dia de semana.
O número de ataques detectados ainda aumentou com o passar dos dias das semanas, principalmente ao examinar aqueles que envolvem ransomware. Quase metade (43%) deles foram identificados às sextas ou sábados.
O relatório "Active Adversary Report for Tech Leaders 2023" é baseado nas investigações de resposta a incidentes (IR) da Sophos e 25 setores ao redor do mundo, de janeiro a julho de 2023. As organizações-alvo estão localizadas em 33 países diferentes, em seis continentes. 88% dos casos vieram de organizações com menos de mil funcionários.
