Indústria e Logística

Hackers passam mais de 250 horas nas redes das vítimas sem serem detetados?

Estudo da Sophos revela, também, que 69% dos ataques utilizaram Remote Desktop Protocol para movimentação lateral dentro da rede.

Sophoslançou o “Active Adversary Playbook 2021”, que detalha os comportamentos dos atacantes e as ferramentas, técnicas e procedimentos (TTP, na sua sigla em inglês) que os threat hunters e especialistas de resposta a incidentes da Sophos viram em ação em 2020. Os dados de deteção de TTP também são relativos ao início de 2021.

Os resultados demonstram que o tempo de permanência médio dos atacantes antes da deteção foi de 11 dias – ou 264 horas – sendo que a intrusão sem deteção mais longa durou 15 meses. O ransomwarefoi utilizado em 81% dos incidentes e outros 69% utilizaram também o Remote Desktop Protocol (RDP) para movimentação lateral dentro da rede.


Este playbook baseia-se em telemetria da Sophos, bem como em 81 investigações de incidentes e contribuições das equipas da Sophos de Managed Threat Response (MTR), composta por threat hunters e analistas, e de Rapid Response, da qual fazem parte especialistas de resposta a incidentes. O seu objetivo é ajudar as equipas de segurança a compreender o que os criminosos fazem durante os ataques e como podem detetar e defender-se de atividade maliciosa na sua rede.



As principais conclusões do playbook incluem:

- O tempo médio de permanência dos atacantes antes da detenção foi de 11 dias. Para contextualizar este dado, 11 dias proporcionam aos atacantes 264 potenciais horas para despender em atividades maliciosas, como movimentação lateral, reconhecimento, dumping de credenciais, extração de dados e outras. Considerando que algumas destas atividades podem ser implementadas em apenas alguns minutos ou horas – muitas vezes durante a noite ou fora dos horários normais de trabalho – 11 dias representam muito tempo para os atacantes causarem danos na rede de uma organização. É também importante notar que os ataques de ransomware tendem a apresentar um tempo de permanência mais curto do que os ataques de “roubo”, porque o seu objetivo primordial é a destruição.

- 90% dos ataques registados envolveu a utilização do Remote Desktop Protocol (RDP) – e em 69% do total de casos, os atacantes utilizaram o RDP para movimentação lateral dentro da rede. As medidas de segurança para RDP, como VPNs e autenticação multifator, tendem a focar-se na proteção contra o acesso externo. No entanto, não funcionam se o atacante já estiver dentro da rede. A utilização do RPD para movimentação lateral dentro da rede está a tornar-se cada vez mais comum em ataques ativos com intervenção humana, como os que envolvem ransomware.

- Surgem correlações interessantes entre as cinco principais ferramentas encontradas nas redes das vítimas. Por exemplo, quando se utilizou PowerShell num ataque, o software Cobalt Strike foi registado em 58% dos casos, o PsExec em 49%, a aplicação Mimikatz em 33% e o software GMER em 19%. O Cobalt Strike e o PsExec foram utilizados em conjunto em 27% dos ataques, enquanto a Mimikatz e o PsExec foram também registados juntos em 31% dos ataques. Por fim, a combinação de Cobalt Strike, PowerShell e PsExec ocorreu em 12% do total de ataques. Estas correlações são importantes porque a sua deteção pode servir de aviso prévio de que um ataque está iminente, ou confirmar a presença de um ataque ativo.

- 81% dos ataques investigados pela Sophos envolveu a utilização de ransomware. A implementação do ransomware é frequentemente o momento em que um ataque se torna visível para a equipa de segurança de TI. Dessa forma, não é surpreendente que a grande maioria dos incidentes a que a Sophos deu resposta tenham envolvido ransomware. Outros tipos de ataques investigados pela empresa incluem apenas extração de dados, cryptomining, Trojans para o setor bancário, wipers, droppers, ferramentas pen test/ataque e outros.

Fale connosco para mais informações!


Fonte: Jp.di; it security;