Atualidade Cibersegurança Sophos Tecnologia

Sophos avisa: atacantes passam, em média, mais de 250 horas nas redes das vítimas sem serem detetados

O novo “Active Adversary Playbook 2021” revela que 69% dos ataques a que a Sophos deu resposta em 2020 utilizaram o Remote Desktop Protocol (RDP) para movimentação lateral dentro da rede.

A Sophos, líder global em cibersegurança de próxima geração, lançou o “Active Adversary Playbook 2021”, que detalha os comportamentos dos atacantes e as ferramentas, técnicas e procedimentos (TTPs, na sua sigla em inglês) que os threat hunters e especialistas de resposta a incidentes da Sophos viram em ação em 2020. Os dados de deteção de TTPs também são relativos ao início de 2021. Os resultados demonstram que o tempo de permanência médio dos atacantes antes da deteção foi de 11 dias – ou 264 horas – sendo que a intrusão sem deteção mais longa durou 15 meses. O ransomware foi utilizado em 81% dos incidentes e outros 69% utilizaram também o Remote Desktop Protocol (RDP) para movimentação lateral dentro da rede.

Este playbook baseia-se em telemetria da Sophos, bem como em 81 investigações de incidentes e contribuições das equipas da Sophos de Managed Threat Response (MTR), composta por threat hunters e analistas, e de Rapid Response, da qual fazem parte especialistas de resposta a incidentes. O seu objetivo é ajudar as equipas de segurança a compreender o que os criminosos fazem durante os ataques e como podem detetar e defender-se de atividade maliciosa na sua rede.

As principais conclusões do playbook incluem:

  • O tempo médio de permanência dos atacantes antes da detenção foi de 11 dias. Para contextualizar este dado, 11 dias proporcionam aos atacantes 264 potenciais horas para despender em atividades maliciosas, como movimentação lateral, reconhecimento, dumping de credenciais, extração de dados e outras. Considerando que algumas destas atividades podem ser implementadas em apenas alguns minutos ou horas – muitas vezes durante a noite ou fora dos horários normais de trabalho – 11 dias representam muito tempo para os atacantes causarem danos na rede de uma organização. É também importante notar que os ataques de ransomware tendem a apresentar um tempo de permanência mais curto do que os ataques de “roubo”, porque o seu objetivo primordial é a destruição.
  • 90% dos ataques registados envolveu a utilização do Remote Desktop Protocol (RDP) – e em 69% do total de casos, os atacantes utilizaram o RDP para movimentação lateral dentro da rede. As medidas de segurança para RDP, como VPNs e autenticação multifator, tendem a focar-se na proteção contra o acesso externo. No entanto, não funcionam se o atacante já estiver dentro da rede. A utilização do RPD para movimentação lateral dentro da rede está a tornar-se cada vez mais comum em ataques ativos com intervenção humana, como os que envolvem ransomware.
  • Surgem correlações interessantes entre as cinco principais ferramentas encontradas nas redes das vítimas. Por exemplo, quando se utilizou PowerShell num ataque, o software Cobalt Strike foi registado em 58% dos casos, o PsExec em 49%, a aplicação Mimikatz em 33% e o software GMER em 19%. O Cobalt Strike e o PsExec foram utilizados em conjunto em 27% dos ataques, enquanto a Mimikatz e o PsExec foram também registados juntos em 31% dos ataques. Por fim, a combinação de Cobalt Strike, PowerShell e PsExec ocorreu em 12% do total de ataques. Estas correlações são importantes porque a sua deteção pode servir de aviso prévio de que um ataque está iminente, ou confirmar a presença de um ataque ativo.
  • 81% dos ataques investigados pela Sophos envolveu a utilização de ransomware. A implementação do ransomware é frequentemente o momento em que um ataque se torna visível para a equipa de segurança de TI. Dessa forma, não é surpreendente que a grande maioria dos incidentes a que a Sophos deu resposta tenham envolvido ransomware. Outros tipos de ataques investigados pela empresa incluem apenas extração de dados, cryptomining, Cavalos de Tróia (Trojans) para o setor bancário, wipers, droppers, ferramentas pen test/ataque e outros.

Anatomia de um ataque ativo - Sophos - Principais descobertas de investigações de resposta a incidentes.

Outros tópicos abordados no playbook incluem as táticas e técnicas que mais provavelmente indicam uma ameaça ativa e requerem uma investigação mais aprofundada, os sinais mais precoces de um ataque, as técnicas de disfarce mais utilizadas, os tipos de ameaças e artefatos maliciosos, os grupos de atacantes vistos mais vezes, e outros.

15 Ferramentas utilizadas pelos atacantes - PowerShell, Cobalt Strike, PsExec, Mimikatz, GMER, Advanced Port Scanner, PC Hunter, Advanced IP Scanner, WMI, SoftPerfect Network Scanner, Emotet, WinRAR, Empire, AnyDesk

Principais grupos adversários vistos em 2020 - REvil/Sodinokibi, Ryuk, Dharma, Conti, Maze', Ragnarok, Netwalker, Cuba, LockBit, Egregor, DarkSide, Team Snatch, Mount Locker, Wasted Locker, Outros

Para saber mais sobre os comportamentos dos atacantes e as suas táticas, técnicas e procedimentos (TTPs) leia o “Active Adversary Playbook 2021” da Sophos na Sophos News.

A Intercept X da Sophos protege os utilizadores detetando as ações e comportamentos de ransomware e outros ataques.

Conteúdo do artigo proveniente da agência de comunicação oficial da Sophos.

Deixe uma resposta

O seu endereço de email não será publicado. Campos obrigatórios marcados com *

×