Sophos alerta que invasores permanecem mais tempo ocultos em redes-alvo

A Sophos, empresa global em cibersegurança, lançou o “Sophos Active Adversary Playbook 2022”, manual que traz detalhes de comportamentos de cibercriminosos observados pela equipe de Rapid Response da companhia em 2021. Com o objetivo de ajudar as equipes de segurança a entender o que os adversários fazem durante os ataques e como identificar e se defender contra atividades maliciosas na rede, o estudo aponta um aumento de 36% no tempo de permanência dos atacantes nas redes invadidas – em uma média de 15 dias em 2021, contra 11 dias em 2020.

O manual também revela o impacto das vulnerabilidades do ProxyShell no Microsoft Exchange, que a Sophos acredita que hackers Initial Access Brokers (IABs) aproveitaram para violar redes e depois vender o acesso para outros invasores.

“O universo dos crimes cibernéticos hoje é muito diverso e especializado. Os IABs desenvolveram uma nova indústria caseira para esse tipo de crime, em que violam alvos, fazem um reconhecimento exploratório ou instalam um backdoor e, em seguida, vendem o acesso imediato a grupos de ransomware que realizam seus próprios ataques”, explica John Shier, consultor sênior de Segurança da Sophos. “Como o cenário de ameaças cibernéticas está cada vez mais dinâmico e especializado, pode ser difícil para as empresas acompanharem as ferramentas e abordagens em constante mudança que os invasores usam. Por isso, é fundamental que os defensores entendam o que procurar em cada estágio da cadeia de ataque, para que possam detectar e neutralizar ameaças o mais rápido possível”,completou.

A pesquisa da Sophos também mostra que o tempo de permanência dos invasores foi maior em ambientes de organizações menores. Eles permaneceram por, aproximadamente, 51 dias nos sistemas de companhias com até 250 funcionários, enquanto normalmente passavam 20 dias em empresas com três mil a cinco mil colaboradores.

“Para os cibercriminosos, organizações maiores são mais valiosas, por isso estão mais motivados a entrar, conseguir o que querem e sair. Empresas mais enxutas têm menos “valor”, então eles podem se dar ao luxo de se esconder na rede em um segundo plano por períodos mais longos. Elas também permitem que os invasores sejam menos experientes e levem mais tempo para definir o que farão dentro da rede. Por fim, as companhias menores normalmente têm menos visibilidade ao longo da cadeia de ataque para detectar e ejetar invasores, prolongando sua presença”, diz Shier. “Com oportunidades de vulnerabilidades como ProxyLogon e ProxyShell não corrigidas, além do surgimento dos IABs, estamos vendo mais evidências de cibercriminosos em um único alvo. Se uma rede estiver lotada, vão querer se mover rapidamente para vencer a concorrência”, observou.

As principais descobertas do manual são:

– O tempo médio de permanência dos cibercriminosos antes da detecção foi maior para invasões “furtivas” que não se desdobraram em um grande ataque, como ransomware, e para organizações menores e setores da indústria com menos recursos de segurança de TI. O tempo médio de permanência na rede-alvo para organizações atingidas por ransomware foi de 11 dias. Para aqueles que foram violados, mas ainda não foram afetados por um grande ataque, como ransomware (23% de todos os incidentes investigados), o tempo médio foi de 34 dias. Organizações do setor de educação ou com menos de 500 funcionários também tiveram períodos de permanência mais longos;

– Tempos de permanência mais longos e pontos de entrada abertos deixam as organizações vulneráveis ​​a diversos invasores. Algumas evidências apontam que diversos adversários, incluindo IABs, grupos de ransomware, criptomineradores e, ocasionalmente, operadores de ransomware, visavam a mesma organização simultaneamente;

– Apesar da queda no uso de Protocolos de Área de Trabalho Remota (RDP) para acesso externo, os invasores aumentaram o uso dessas ferramentas para movimentação lateral interna. Em 2020, os invasores usaram o RDP para atividades externas em 32% dos casos analisados, mas isso diminuiu para 13% em 2021. Embora essa mudança seja positiva e indique que as organizações aprimoraram o gerenciamento de ataques externos, os cibercriminosos ainda se apoiam no RDP para movimentos laterais internos. A Sophos descobriu que eles fizeram uso dessa técnica em 82% dos casos em 2021, ante os 69% registrados em 2020;

– As combinações de ferramentas comuns usadas em ataques fornecem um sinal poderoso de alerta da atividade do invasor. Por exemplo, as investigações de incidentes descobriram que, em 2021, o PowerShell e outros scripts maliciosos foram vistos juntos em 64% dos casos; PowerShell e Cobalt Strike foram combinados em 56% das análises e PowerShell e PsExec foram encontrados simultaneamente em 51% dos casos. A detecção dessas correlações pode servir como um aviso antecipado de um ataque iminente ou confirmar a presença de um ataque ativo;

– 50% dos incidentes de ransomware envolveram exfiltração de dados – e com os dados disponíveis, a diferença média entre o roubo e a implantação do ransomware foi de 4,28 dias. 73% dos incidentes aos quais a Sophos respondeu em 2021 envolveram ransomware. Desses, 50% também continham exfiltração de dados, que geralmente é o último estágio do ataque antes do lançamento do ransomware. As investigações revelaram que a diferença média entre eles era de 4,28 dias;

– O Conti foi o grupo de ransomware mais produtivo visto em 2021, respondendo por 18% dos incidentes em geral. O ransomware REvil foi responsável por um em cada 10 incidentes, enquanto outros grupos de ransomware predominantes foram o DarkSide, o RaaS – responsável pelo notório ataque ao Colonial Pipeline, nos EUA – e o Black KingDom, um dos “novos” grupos de ransomware a aparecer em março de 2021, na sequência da vulnerabilidade ProxyLogon. Além disso, 41 criminosos diferentes foram identificados nos 144 incidentes incluídos na análise. Destes, cerca de 28 foram grupos relatados pela primeira vez em 2021. Enquanto isso, 18 grupos de ransomware vistos em incidentes em 2020 desapareceram da lista em 2021.

“Os alertas que os defensores devem observar incluem a detecção de ferramentas legítimas, atividades em um local inesperado ou em um horário incomum”, explica Shier. “Vale a pena notar que também pode haver momentos de pouca ou nenhuma atividade, mas isso não significa que uma organização não tenha sido atingida. É provável, por exemplo, que haja mais violações de ProxyLogon ou ProxyShell que são atualmente desconhecidas, em que web shells e backdoors foram implementados em alvos para acesso persistente e agora estão inativos até que sejam usados ou vendidos. Os defensores precisam estar atentos a qualquer sinal suspeito e investigar imediatamente, corrigindo bugs críticos – especialmente aqueles em softwares amplamente utilizados – e, como prioridade, fortalecer a segurança dos serviços de acesso remoto. Até que os pontos de entrada expostos sejam fechados e tudo o que os invasores fizeram seja completamente erradicado, praticamente qualquer outro atacante pode segui-los, e provavelmente o fará”, conclui.

Serviço
www.sophos.com