Os resultados de um estudo da Sophos demonstram que o tempo de permanência médio dos atacantes antes da detecção foi de 11 dias – ou 264 horas – sendo que a intrusão sem detecção mais longa durou 15 meses. O ransomware foi utilizado em 81% dos incidentes e outros 69% utilizaram também o Remote Desktop Protocol (RDP) para movimentação lateral dentro da rede.
O tempo médio de permanência dos atacantes antes da detecção foi de 11 dias. Para contextualizar este dado, 11 dias proporcionam aos atacantes 264 potenciais horas para despender em actividades maliciosas, como movimentação lateral, reconhecimento, dumping de credenciais, extracção de dados e outras.
Considerando que algumas destas actividades podem ser implementadas em apenas alguns minutos ou horas – muitas vezes durante a noite ou fora dos horários normais de trabalho – 11 dias representam muito tempo para os atacantes causarem danos na rede de uma organização. É também importante notar que os ataques de ransomware tendem a apresentar um tempo de permanência mais curto do que os ataques de “roubo”, porque o seu objetivo primordial é a destruição.
90% dos ataques registados envolveu a utilização do Remote Desktop Protocol (RDP) – e em 69% do total de casos, os atacantes utilizaram o RDP para movimentação lateral dentro da rede.
As medidas de segurança para RDP, como VPNs e autenticação multifactor, tendem a focar-se na protecção contra o acesso externo. No entanto, não funcionam se o atacante já estiver dentro da rede. A utilização do RPD para movimentação lateral dentro da rede está a tornar-se cada vez mais comum em ataques activos com intervenção humana, como os que envolvem ransomware.
Surgem correlações interessantes entre as cinco principais ferramentas encontradas nas redes das vítimas. Por exemplo, quando se utilizou PowerShell num ataque, o software Cobalt Strike foi registado em 58% dos casos, o PsExec em 49%, a aplicação Mimikatz em 33% e o software GMER em 19%. O Cobalt Strike e o PsExec foram utilizados em conjunto em 27% dos ataques, enquanto a Mimikatz e o PsExec foram também registados juntos em 31% dos ataques. Por fim, a combinação de Cobalt Strike, PowerShell e PsExec ocorreu em 12% do total de ataques. Estas correlações são importantes porque a sua detecção pode servir de aviso prévio de que um ataque está iminente, ou confirmar a presença de um ataque ativo.
81% dos ataques investigados pela Sophos envolveu a utilização de ransomware. A implementação do ransomware é frequentemente o momento em que um ataque se torna visível para a equipa de segurança de TI. Dessa forma, não é surpreendente que a grande maioria dos incidentes a que a Sophos deu resposta tenham envolvido ransomware.
Outros tipos de ataques investigados pela empresa incluem apenas extração de dados, cryptomining, Cavalos de Tróia (Trojans) para o setor bancário, wipers, droppers, ferramentas pen test/ataque e outros.
Se gosta desta notícia, subscreva gratuitamente a newsletter da Security Magazine.
