Qualquer tempo é muito longo, mas os hackers estão encontrando maneiras de vagar por redes invisíveis por mais tempo do que você poderia esperar.

Os ciberataques, em média, têm 11 dias após violar uma rede alvo antes de serem detectados, de acordo com a empresa de segurança do Reino Unido Sophos - e muitas vezes quando são detectados é porque implantaram ransomware.

Como os pesquisadores da Sophos observaram em um novo relatório , é tempo mais do que suficiente para um invasor obter uma visão geral completa da aparência de uma rede-alvo, onde estão seus pontos fracos e para que os atacantes de ransomware a destruam.

Os dados da Sophos, com base em suas respostas a incidentes de clientes, sugerem um "tempo de permanência" muito mais curto para os invasores do que os dados da equipe de resposta a incidentes da FireEye, Mandiant. Mandiant relatou recentemente que o tempo médio de detecção foi de 24 dias , o que foi uma melhoria em relação aos anos anteriores.

A Sophos explica que o tempo de permanência relativamente curto em seus dados de resposta a incidentes se deve ao gritante 81% dos incidentes que ajudou os clientes com ransomware envolvido - um ataque barulhento que imediatamente dispara alarmes para departamentos de tecnologia. Portanto, embora os tempos de permanência mais curtos possam indicar uma melhoria na chamada postura de segurança, também pode ser apenas porque o ransomware de criptografia de arquivos é um ataque prejudicial em comparação com o roubo de dados.

"Para colocar isso em contexto, 11 dias potencialmente fornecem aos invasores aproximadamente 264 horas para atividades maliciosas, como movimento lateral, reconhecimento, despejo de credenciais, exfiltração de dados e muito mais. Considerando que algumas dessas atividades podem levar apenas alguns minutos ou algumas horas para implementar, 11 dias fornecem aos invasores tempo suficiente para causar danos ", observa a Sophos em seu relatório Active Adversary Playbook 2021.

A grande maioria dos incidentes aos quais a Sophos respondeu foram ataques de ransomware, sugerindo a escala do problema . Outros ataques incluem roubo de dados, criptominadores, cavalos de Troia bancários, limpadores de dados e o uso de ferramentas de teste de penetração como Cobalt Strike.

Outro ponto notável é o uso generalizado por invasores do Remote Desktop Protocol (RDP), com cerca de 30% dos ataques começando com RDP e 69% das atividades subsequentes sendo conduzidas com RDP. Por outro lado, o phishing foi o ponto de entrada de apenas 12% dos ataques, enquanto 10% dos ataques envolveram a exploração de um sistema sem patch.

Os ataques a endpoints RDP são usados ​​há muito tempo para iniciar ataques de ransomware e são muito mais comuns do que explorações contra VPNs . Várias empresas de segurança classificaram o RDP como o principal vetor de intrusão para incidentes de ransomware em 2020. A empresa de segurança ESET relatou que o trabalho remoto viu um aumento de quase 800% nos ataques de RDP em 2020 .

"O RDP participou de 90% dos ataques. No entanto, vale a pena observar a maneira como os invasores usaram o RDP. Em incidentes que envolveram o RDP, ele foi usado para acesso externo apenas em 4% dos casos. Cerca de um quarto (28% ) de ataques mostrou invasores usando RDP para acesso externo e movimento interno, enquanto em 41% dos casos, RDP foi usado apenas para movimento lateral interno dentro da rede ", observam os pesquisadores de ameaças da Sophos.

A Sophos também compilou uma lista dos grupos de ransomware mais amplamente observados. DarkSide, um provedor de serviços de ransomware novo, mas profissional, que iniciou suas atividades em meados de 2020, foi responsável por apenas 3% dos casos investigados pela Sophos até 2020. Está em destaque por causa do ataque ao Colonial Pipeline , que supostamente pagou US $ 5 milhões ao grupo .

DarkSide oferece seu ransomware como um serviço para outros grupos criminosos que distribuem o ransomware, assim como a gangue de ransomware REvil faz. REvil foi o centro das atenções no ano passado por causa dos ataques ao governo e alvos de saúde, além de seus altos pedidos de resgate, que chegaram a cerca de US $ 260.000 .

De acordo com a Sophos, o REvil (também conhecido como Sodinokibi) foi a ameaça de ransomware mais ativa em 2020 junto com o Ryuk, que, de acordo com algumas estimativas, ganhou US $ 150 milhões com o ransomware .

Outros jogadores importantes de ransomware, incluindo Dharma, Maze (extinto), Ragnarok e Netwalker (extinto).

O presidente dos EUA, Joe Biden, disse na semana passada que discutiu o ataque de ransomware colonial com Moscou e sugeriu que a Rússia deveria tomar uma "ação decisiva" contra esses invasores. Os EUA acreditam que o DarkSide está baseado na Rússia, mas não está conectado ao governo russo.

"Temos estado em comunicação direta com Moscou sobre a necessidade de os países responsáveis ​​tomarem medidas decisivas contra essas redes de ransomware", disse Biden em 13 de maio.

Fonte: ZDNet