Cibercriminosos agem por mais de 250 horas nas redes-alvo até serem descobertos
Redação, Infra News Telecom
A Sophos, empresa global de soluções de cibersegurança, lançou o “Active Adversary Playbook 2021”, um manual que detalha os comportamentos dos cibercriminosos, suas táticas, técnicas e procedimentos mais comuns que os investigadores de ameaças da linha de frente e os responsáveis pela resposta a incidentes da companhia encontraram em 2020 — os dados de detecção também cobrem o início de 2021.
De acordo com o documento, o tempo médio de permanência do invasor antes da detecção foi de 11 dias (ou 264 horas) e a maior infiltração não detectada levou 15 meses. O ransomware apareceu em 81% dos incidentes.
O manual é baseado nas observações da Sophos, bem como em 81 investigações de incidentes e percepções da equipe Sophos Managed Threat Response e Sophos Rapid Response de respondentes a incidentes.
O trabalho mostra ainda que 90% dos ataques envolveram o uso de protocolo de área de trabalho remota (RDP) – e em 69% os invasores usaram RDP para movimento lateral interno – medidas de segurança para RDP, como VPNs e autenticação multifator, tendem a proteger o acesso externo. No entanto, elas não funcionam se o invasor já estiver dentro da rede. O uso de RDP para movimento lateral interno é cada vez mais comum, assim como os que envolvem ransomware.
“O cenário de ameaças está se tornando mais congestionado e complexo, com ataques lançados por cibercriminosos com uma ampla gama de habilidades e recursos, que vão desde script kiddies até grupos de ameaças apoiados por estados-nação”, diz John Shier, consultor de segurança sênior da Sophos.
De acordo com o executivo, no ano passado, os respondentes de incidentes da companhia ajudaram a neutralizar ataques lançados por mais de 37 grupos, usando mais de 400 ferramentas diferentes entre eles. “Muitas delas também são usadas por administradores de TI e profissionais de segurança para suas tarefas diárias. Portanto, detectar a diferença entre atividades benignas e maliciosas nem sempre é fácil”, completa.
Outros tópicos abordados no manual incluem as táticas e técnicas com maior probabilidade de sinalizar uma ameaça ativa e garantir uma investigação mais detalhada, os primeiros sinais de ataque, os escalonamentos mais amplamente vistos, os tipos de ameaças e tecnologias criminosas, os grupos invasores mais prevalentes vistos, etc.
