Ransomware e phishing respondem por 70% dos incidentes, diz Palo Alto

De acordo com um novo relatório da empresa de segurança cibernética Palo Alto Networks, o uso intenso de vulnerabilidades de software corresponde ao comportamento oportunista de agentes de ameaças que vasculham a Internet em busca de pontos fracos nos quais se concentrar. O Relatório de Resposta a Incidentes de 2022 oferece uma série de insights obtidos pela sua equipe Unit 42 em seu trabalho de resposta a incidentes (IR). O relatório aproveita uma amostragem de mais de 600 casos de IR da Unit 42 para ajudar os CISOs e as equipes de segurança a entender os maiores riscos de segurança e onde priorizar recursos para reduzi-los.

No geral, ransomware e comprometimento de e-mail comercial (BEC) foram os principais tipos de incidentes aos quais a equipe de resposta a incidentes respondeu nos últimos 12 meses, representando aproximadamente 70% dos casos de resposta a incidentes. No relatório, a Unit 42 identificou que finanças e imóveis estavam entre os setores que receberam as maiores demandas médias de resgate, com valores em torno de US$ 8 milhões e US$ 5 milhões, respectivamente.

“Neste momento, o cibercrime é um negócio fácil de entrar devido ao seu baixo custo e retornos frequentemente elevados. Assim, os agentes de ameaças inexperientes podem começar com acesso a ferramentas como hacking-as-a-service, tornando-se mais populares e disponíveis na Dark Web”, disse Wendi Whitmore, vice-presidente sênior e chefe da Unit 42 da Palo Alto Networks. “Os invasores de ransomware também estão se tornando mais organizados com o atendimento ao cliente e as pesquisas de satisfação à medida que se envolvem com os cibercriminosos e as organizações vítimas de ataques”, comentou.

As principais tendências abordadas no relatório incluem:

Ransomware

– Uma nova vítima de ransomware é postada em sites de vazamento a cada quatro horas.

– Identificar a atividade de ransomware antecipadamente é fundamental para as organizações.

– Normalmente, os agentes de ransomware só são descobertos depois que os arquivos são criptografados e a organização da vítima recebe uma nota de resgate.

– A Unit 42 identificou que o tempo médio de permanência – ou seja, o tempo que os agentes de ameaças passam em um ambiente direcionado antes de serem detectados – observado para ataques de ransomware foi de 28 dias.

– As demandas de resgate chegaram a US$ 30 milhões e os pagamentos reais chegaram a US$ 8 milhões.

– Cada vez mais, as organizações afetadas também podem esperar que os agentes de ameaças usem extorsão dupla, ameaçando divulgar publicamente informações confidenciais se um resgate não for pago.

Cibercriminosos de BEC

– Eles usaram uma variedade de técnicas em esquemas de fraude eletrônica de comprometimento de e-mail comercial.

– Formas de engenharia social, como phishing, oferecem uma maneira fácil e econômica de obter acesso oculto, mantendo um baixo risco de descoberta.

– De acordo com o relatório, em muitos casos, os cibercriminosos estão simplesmente pedindo a seus alvos involuntários que entreguem suas credenciais – e as obtêm.

– Uma vez que eles tenham acesso, o tempo médio de permanência para ataques BEC foi de 38 dias, e o valor médio roubado foi de US$ 286 mil.

Setores Afetados

Os invasores seguem o dinheiro quando se trata de atacar os setores; no entanto, muitos invasores são oportunistas, simplesmente varrendo a Internet em busca de sistemas onde possam aproveitar vulnerabilidades conhecidas. A Unit 42 identificou os principais setores afetados em casos de resposta a incidentes, como finanças, serviços profissionais e jurídicos, manufatura, saúde, alta tecnologia e atacado e varejo. As organizações desses setores armazenam, transmitem e processam grandes volumes de informações confidenciais monetizáveis ​​que atraem os agentes de ameaças.

O relatório também revela algumas estatísticas de casos de IR que os ciberataques não querem que você saiba:

– Os três principais vetores de acesso inicial usados ​​por agentes de ameaças foram phishing, exploração de vulnerabilidades de software conhecidas e ataques de credenciais de força bruta focados principalmente no protocolo de desktop remoto (RDP). Combinados, esses vetores de ataque representam 77% das causas-raiz suspeitas de intrusões.

– O ProxyShell foi responsável por mais da metade de todas as vulnerabilidades exploradas para acesso inicial em 55%, seguido por Log4J (14%), SonicWall (7%), ProxyLogon (5%) e Zoho ManageEngine ADSelfService Plus (4%).

– Em metade de todos os casos de IR, os investigadores descobriram que as organizações não tinham autenticação multifator em sistemas críticos voltados para a Internet, como webmail corporativo, soluções de rede privada virtual (VPN) ou outras soluções de acesso remoto.

– Em 13% dos casos, as organizações não tinham mitigações para garantir o bloqueio de contas para ataques de credenciais de força bruta.

– Em 28% dos casos, ter procedimentos de gerenciamento de patches inadequados contribuiu para o sucesso do agente de ameaças.

– Em 44% dos casos, as organizações não tinham uma solução de segurança de detecção e resposta de endpoint (EDR) ou de detecção e resposta estendida (XDR), ou não foi totalmente implementada nos sistemas afetados inicialmente para detectar e responder a atividades maliciosas.

– 75% dos casos de ameaças internas envolveram um ex-funcionário.

Serviço
www.paloaltonetworks.com