ataques informaticos
81% dos ataques informáticos investigados pela Sophos envolveu a utilização de ransomware

A Sophos, líder global em cibersegurança de próxima geração, lançou o “Active Adversary Playbook 2021”, que detalha os comportamentos dos atacantes e as ferramentas, técnicas e procedimentos (TTP, na sua sigla em inglês) que os threat hunters e especialistas de resposta a incidentes da Sophos viram em ação em 2020 e, também, no início de 2021. E os resultados sobre os ataques informáticos demonstram que o tempo de permanência médio dos atacantes antes da deteção foi de 11 dias – ou seja, 264 horas –, sendo que a intrusão sem deteção mais longa durou 15 meses.

O relatório evidencia que o ransomware foi utilizado em 81% dos incidentes e outros 69% utilizaram também o Remote Desktop Protocol (RDP) para movimentação lateral dentro da rede.

Este playbook baseia-se em telemetria da Sophos, bem como em 81 investigações de incidentes e contribuições das equipas da Sophos de Managed Threat Response (MTR), composta por threat hunters e analistas, e de Rapid Response, da qual fazem parte especialistas de resposta a incidentes. O seu objetivo é ajudar as equipas de segurança a compreender o que os criminosos fazem durante os ataques e como podem detetar e defender-se de atividade maliciosa na sua rede.

Principais conclusões sobre ataques informáticos:

As principais conclusões do playbook da Sophos incluem:

  • O tempo médio de permanência dos atacantes antes da detenção foi de 11 dias. Para contextualizar este dado, 11 dias proporcionam aos atacantes 264 potenciais horas para despender em atividades maliciosas, como movimentação lateral, reconhecimento, dumping de credenciais, extração de dados e outras. Considerando que alguns destes ataques informáticos podem ser implementados em apenas alguns minutos ou horas – muitas vezes durante a noite ou fora dos horários normais de trabalho –, 11 dias representam muito tempo para os atacantes causarem danos na rede de uma organização. É também importante notar que os ataques de ransomware tendem a apresentar um tempo de permanência mais curto do que os ataques de “roubo”, porque o seu objetivo primordial é a destruição.
  • 90% dos ataques registados envolveu a utilização do Remote Desktop Protocol (RDP) – e em 69% do total de casos, os atacantes utilizaram o RDP para movimentação lateral dentro da rede. As Info para RDP, como VPNs e autenticação multifator, tendem a focar-se na proteção contra o acesso externo. No entanto, não funcionam se o atacante já estiver dentro da rede. A utilização do RPD para movimentação lateral dentro da rede está a tornar-se cada vez mais comum em ataques ativos com intervenção humana, como os que envolvem ransomware.
  • Surgem correlações interessantes entre as cinco principais ferramentas encontradas nas redes das vítimas. Por exemplo, quando se utilizou PowerShell em ataques informáticos, o software Cobalt Strike foi registado em 58% dos casos, o PsExec em 49%, a aplicação Mimikatz em 33% e o software GMER em 19%. O Cobalt Strike e o PsExec foram utilizados em conjunto em 27% dos ataques, enquanto a Mimikatz e o PsExec foram também registados juntos em 31% dos ataques. Por fim, a combinação de Cobalt Strike, PowerShell e PsExec ocorreu em 12% do total de ataques. Estas correlações são importantes porque a sua deteção pode servir de aviso prévio de que um ataque informático está iminente, ou confirmar a presença de um ataque ativo.
  • 81% dos ataques investigados pela Sophos envolveu a utilização de ransomware. A implementação do ransomware é frequentemente o momento em que um ataque se torna visível para a equipa de segurança de TI. Dessa forma, não é surpreendente que a grande maioria dos incidentes a que a Sophos deu resposta tenham envolvido ransomware. Outros tipos de ataques informáticos investigados pela empresa incluem apenas extração de dados, cryptomining, Cavalos de Tróia (Trojans) para o setor bancário, wipers, droppers, ferramentas pen test/ataque e outros.

No panorama de ameaças há grupos apoiados por nações adversárias

“O panorama de ameaças está a tornar-se mais concorrido e complexo, com ataques implementados por adversários que possuem uma ampla variedade de capacidades e recursos, desde amadores com scripts até grupos apoiados por nações adversárias. Isto pode tornar a vida muito complicada para quem tenta defender-se,” afirmou John Shier, Senior Security Advisor da Sophos.

“Ao longo do último ano, os nossos especialistas de resposta a incidentes ajudaram a neutralizar ataques informáticos levados a cabo por mais de 37 grupos de atacantes, que entre si utilizaram mais de 400 ferramentas diferentes. Muitas destas ferramentas são também utilizadas pelos gestores de TI e profissionais de segurança nas suas tarefas quotidianas, pelo que nem sempre é fácil detetar as diferenças entre a atividade benigna e maligna”.

LEIA TAMBÉM: Ataques DDoS e roubo de “passwords” com grande surto espoletado pela Covid-19

Ora, “com os adversários a despender uma média de 11 dias na rede, implementando os seus ataques enquanto se ambientam com a atividade de TI de rotina, é crítico que as equipas de defesa compreendam os sinais de alerta a que devem prestar atenção e que devem investigar. Um dos alertas mais importantes, por exemplo, é quando uma ferramenta ou atividade legítimas são detetadas num local inesperado. Acima de tudo, as equipas de defesa devem lembrar-se de que a tecnologia pode fazer muitas coisas, mas, no atual panorama de ameaças, pode não ser suficiente por si só. A experiência e a capacidade de resposta humanas são uma parte vital de qualquer solução de segurança”, sublinha o responsável.

Playbook da Sophos é ferramenta essencial para estar em alerta contra ataques informáticos

Outros tópicos abordados no “Active Adversary Playbook 2021” incluem as táticas e técnicas que mais provavelmente indicam uma ameaça ativa e requerem uma investigação mais aprofundada, os sinais mais precoces de um ataque, as técnicas de disfarce mais utilizadas, os tipos de ameaças e artefactos maliciosos, os grupos de atacantes vistos mais vezes, e outros.

LEIA TAMBÉM: F2C com luz verde da ANI para cibersegurança e TIC

Para saber mais sobre os comportamentos dos atacantes e as suas táticas, técnicas e procedimentos (TTPs) leia o Active Adversary Playbook 2021 da Sophos na Sophos News.

Recursos adicionais:

Leia a investigação The State of Ransomware 2021 para conhecer o cenário global de ransomware ao longo dos últimos 12 meses. E conheça as quatro principais dicas para dar resposta a um incidente de segurança por parte da equipas de Rapid Response e Managed Threat Response da Sophos

Informações adicionais para órgãos de comunicação social:

LEWIS

Inês Barbosa

[email protected]

Rita Nunes

[email protected]

FONTESophos
Artigo anteriorComo procurar emprego com ajuda do Smartphone: 5 dicas da Wiko
Próximo artigoSabe como acabar com as pulgas do seu animal de estimação? A Pmarché ajuda-o
Envie-nos o seu press release através do nosso formulário de submissão e potencie a visibilidade da sua marca, empresa, ideia ou projeto. Se tiver dúvidas sobre a elaboração de uma nota à comunicação social, leia o nosso artigo "Como Fazer um Press Release".