12% de ciberataques levam mais de 700 dias até serem detectados

Cibersegurança e InfoSec Notícias



Os cibercriminosos estão cada vez mais a encarar o ransomware como uma fonte secundária de ganhos, diz um novo relatório do FireEye. O Mandiant M-Trends 2020 Report acrescenta que os ataques cibernéticos estão a evoluir – 41% das famílias de malware que o FireEye Mandiant observou em 2019 eram novas.

As organizações estão a detectar e a conter ataques mais rapidamente. No relatório M-Trends de 2020, o tempo médio global de permanência, definido como a duração entre o início de uma intrusão cibernética e a sua identificação, foi de 56 dias. Isto é 28% menos do que a média de 78 dias observada no ano anterior.

O estudo atribui essa tendência às organizações que melhoraram os seus programas de detecção, bem como a mudanças nos comportamentos dos atacantes, como o aumento contínuo de ataques disruptivos (por exemplo, ransomware e mineração de criptomoedas) que muitas vezes têm tempos de permanência mais curtos do que outros tipos de ataque.

Os tempos globais de detecção interna e externa também reduziram. O tempo médio para as organizações que souberam do seu incidente por uma fonte externa está em 141 dias, uma redução de 23% face ao relatório anterior da M-Trends (184 dias). O tempo médio para organizações que se autodetectaram está em 30 dias, uma redução de 40% face ao ano anterior (50,5 dias).

Enquanto o tempo interno viu o maior nível de melhoria, há ainda 12% de investigações que continuam a ter tempos de permanência superiores a 700 dias.

Embora o tempo de permanência para invasões identificadas internamente pelas organizações tenha diminuído, a percentagem global de incidentes de segurança autodetectados versus fontes externas também diminuiu.

Houve uma redução de 12 pontos percentuais na proporção de ataques detectados internamente, face ao ano anterior. Isso ocorre após um aumento constante das detecções internas desde 2011.

Em 2019 foi a primeira vez em quatro anos que as notificações externas (quando uma entidade externa informa uma organização que foi comprometida), excedeu as detecções internas, diz o relatório.

Essa mudança deve-se potencialmente a uma variedade de factores, como aumento de sanções previstas por lei e notificações de fornecedores de segurança cibernética, mudanças nas normas de divulgação pública e mudanças ao nível do compliance, diz o relatório.

O FireEye Mandiant considera improvável que a capacidade das organizações de detectar invasões se tenha deteriorado, pois outras métricas mostram melhorias contínuas nas detecções organizacionais e na resposta.

O novo relatório detalha que 41% de todas as famílias de malware observadas em 2019 nunca tinham sido vistas.

Além disso, 70% das amostras identificadas pertenciam a uma das cinco famílias mais conhecidas, que são baseadas em ferramentas de código aberto com desenvolvimento activo.

Esses pontos demonstram que não só os criadores de malware estão a inovar, como os criminosos cibernéticos também estão a subcontratar tarefas para monetizar as operações mais rapidamente, diz o relatório.

O relatório também mostra que a maioria das novas famílias de malware impactou o Windows ou várias plataformas. Linux ou Mac surgem em minoria.

Dos ataques que os profissionais do FireEye Mandiant viram, a maior maioria (29%) provavelmente foi motivada por ganhos financeiros directos. Isso inclui extorsão, resgate, roubo de cartão e transferências ilícitas.

O segundo mais comum (22%) foi o roubo de dados provavelmente relacionado à propriedade intelectual ou com finalidade de espionagem.

A monetização bem-sucedida de ataques de ransomware e a disponibilidade de ransomware como serviço contribuíram para um aumento nos casos globais de ransomware, observa o relatório.

Os grupos de crimes cibernéticos estabelecidos, que historicamente visavam informações pessoais e de cartão de crédito, também têm-se voltado cada vez mais para o ransomware como um meio secundário de gerar receita.

Dada a facilidade com que os ataques de ransomware podem ser realizados e o seu sucesso financeiro contínuo para os atacantes, o FireEye espera que o ransomware continue a ser usado como um meio secundário para monetizar o acesso aos ambientes das vítimas, diz o relatório.

“FireEye Mandiant tem visto organizações a melhorar o seu nível de sofisticação de segurança cibernética, mas combater as últimas ameaças ainda é um grande desafio”, diz Jurgen Kutscher, vice-presidente executivo da FireEye.

“Há grupos mais activos agora do que nunca e vimos uma expansão agressiva de seus objectivos. Consequentemente, é crucial que as organizações continuem a construir e testar as suas defesas”.