Quanto tempo cibercriminosos ficam ocultos nas redes antes de atacarem?
Por Felipe Demartini | Editado por Jones Oliveira | 21 de Maio de 2021 às 07h00
Cibercriminosos ficam, em média, 11 dias escondidos em redes corporativas antes de executarem os ataques contra elas. O levantamento faz parte de uma pesquisa da empresa de segurança digital Sophos e aponta a extensa fase de planejamento necessária antes que um golpe bem-sucedido, capaz de comprometer todo um sistema e seus dispositivos, seja lançado. É um dado que mostra a sofisticação das intrusões e o cuidado de seus realizadores.
- Ataques de força bruta a serviços remotos aumentaram em 704% na América Latina
- Estudo traz cenário apocalíptico para a cibersegurança em 2030
- AMD alerta para falhas nas três primeiras gerações de processadores EPYC
De acordo com os especialistas, os casos em que um atacante já realiza suas atividades assim que obtém acesso a uma rede são raros. Em vez disso, ao conseguirem invadir uma infraestrutura, eles permanecem por, em média, 264 horas analisando medidas de proteção e softwares de segurança, entendendo a infraestrutura e reconhecendo os diferentes dispositivos conectados, de forma que a maior parte deles seja comprometido na hora H.
Segundo a pesquisa, 81% dos casos registrados pela companhia ao longo de 2020 e estudados para o levantamento foram de ransomware, justamente o tipo de ação que depende da disseminação lateral para ser bem-sucedida. Por outro lado, apesar da necessidade de presença de malwares em diferentes máquinas para que toda a rede seja travada de uma vez, o estudo aponta que esse é o golpe que exige menos tempo de preparo em relação, por exemplo, às operações de roubo de dados ou comprometimento de informações corporativas sigilosas, que exigem mais furtividade.
90% dos ataques registrados durante o período usaram protocolos de desktop remoto, que se tornaram presenças frequentes em empresas na corrida pelo home office, com a tecnologia também sendo usada para deslocamento lateral em 69% das ocorrências. Os pesquisadores apontam a falta de segurança após o login como um fator determinante para isso, já que, depois dos sistemas de autenticação múltipla de plataformas desse tipo e o acesso às VPNs corporativas, na maioria dos casos não existem mais medidas de proteção ou monitoramento.
Os números da Sophos apresentam uma média de todas as corporações estudadas, desde aquelas que efetivamente sofreram um ataque quanto as que detectaram a presença estranha em sua infraestrutura antes de um golpe começar. Por outro lado, eles também apresentam casos bem absurdos, como uma empresa cuja rede contou com a presença de atacantes por nada menos do que 15 meses antes da realização do primeiro golpe efetivo. Foi avaliada toda a telemetria dos softwares de segurança da empresa ao longo do ano passado, assim como 81 casos em que ela foi contratada para prestar assistência forense.
Por outro lado, o estudo também revelou que a maior parte dos casos registrados usam vetores de intrusão conhecidos, algo que pode facilitar no monitoramento e tomada de ações. 58% dos incidentes tiveram o Cobalt Strike como ferramenta, enquanto 49% usaram o PsExec, seguido pelo Mimikatz (33%) e GMER (19%). Não estranhe os números acima de 100%, já que, muitas vezes, os ataques combinam duas ou mais soluções desse tipo, com os dois primeiros, por exemplo, atuando juntos em 27% das ocorrências, enquanto a última dupla aparece em 31%.
Fonte: Sophos