Analysis

Cibercriminosos eliminaram logs de telemetria na maioria dos ataques

Estudo da Sophos indica que os cibercriminosos desativaram ou eliminaram os logs de telemetria em 82% dos ataques realizados

01/12/2023

Cibercriminosos eliminaram logs de telemetria na maioria dos ataques

A Sophos divulgou o seu “Active Adversary Report for Security Practitioners”, que concluiu que os logs de telemetria estavam em falta em quase 42% dos casos de ataque estudados. Em 82% desses casos, os cibercriminosos desativaram ou apagaram a telemetria para ocultar o seu rasto. O relatório engloba casos de Resposta a Incidentes (IR, na sua sigla em inglês) que a Sophos analisou desde janeiro de 2022 até ao primeiro semestre de 2023.

As lacunas na telemetria diminuem a tão necessária visibilidade sobre as redes e sistemas das organizações, especialmente porque o tempo de permanência dos atacantes (o tempo decorrido desde o acesso inicial até à sua deteção) continua a diminuir, encurtando o tempo que as equipas de defesa têm para responder eficazmente a um incidente.

O tempo é crucial ao dar resposta a uma ameaça ativa – o tempo entre a deteção do evento de acesso inicial e a atenuação total da ameaça deve ser o mais curto possível. Quanto mais longe na cadeia de ataque o atacante chegar, maior será a dor de cabeça para os responsáveis pela defesa. A telemetria em falta acrescenta ainda mais tempo às remediações, que a maioria das organizações não pode pagar. É por isso que um logging completo e preciso é essencial, mas estamos a ver, com demasiada frequência, que as organizações não têm os dados de que necessitam”, disse John Shier, Field CTO da Sophos.

Neste relatório, a Sophos classifica os ataques de ransomware com um tempo de permanência inferior ou igual a cinco dias como ‘ataques rápidos’, tendo representado 38% dos casos estudados. Os ataques de ransomware ‘lentos’ são os que têm um tempo de permanência superior a cinco dias, e representaram 62% dos casos.

Ao examinar estes ataques de ransomware ‘rápidos’ e ‘lentos’ a um nível granular, não se detetou muita variação nas ferramentas, técnicas e binários “living-off-the-land” (LOLBins) que os atacantes utilizaram, sugerindo que as equipas de defesa não precisam de reinventar as suas estratégias defensivas à medida que o tempo de permanência diminui. No entanto, precisam de estar cientes de que os ataques rápidos podem prejudicar os tempos de resposta rápidos, levando a uma maior destruição.

Os cibercriminosos só inovam quando têm de o fazer, e fazem-no apenas na medida certa para chegarem ao seu objetivo. Os atacantes não vão mudar algo que está a funcionar, mesmo que passe menos tempo entre o seu acesso e a sua deteção. Esta é uma boa notícia para as organizações, porque não têm de alterar radicalmente a sua estratégia defensiva à medida que os atacantes aceleram os seus calendários. As mesmas defesas que detetam ataques rápidos vão aplicar-se a todos os ataques, independentemente da sua velocidade. Estas incluem telemetria completa, proteções robustas em todos os sistemas e monitorização omnipresente”, afirmou John Shier. “O segredo é aumentar os atritos sempre que possível – se dificultarmos o trabalho dos atacantes, podemos ganhar tempo valioso para responder, prolongando cada etapa de um ataque. No caso de um ataque de ransomware, se tivermos mais fricção, podemos atrasar o tempo até à exfiltração de dados. A exfiltração ocorre, muitas vezes, imediatamente antes da deteção e é muitas vezes a parte mais dispendiosa do ataque”.

Neste relatório, a Sophos dá o exemplo de dois incidentes de ransomware em Cuba. Uma empresa (Empresa A) tinha uma monitorização contínua implementada com serviços de Deteção e Resposta Geridas (MDR), pelo que a Sophos conseguiu detetar a atividade maliciosa e parar o ataque em poucas horas para evitar o roubo de dados. Outra empresa (Empresa B) não tinha esta fricção; o ataque só foi detetado algumas semanas após o acesso inicial, e depois de os atacantes já terem exfiltrado com êxito 75 gigabytes de dados sensíveis. Chamaram então a equipa de IR da Sophos e, um mês depois, ainda estavam a tentar voltar à atividade normal.

O Sophos Active Adversary Report for Security Practitioners baseia-se em 232 casos de Resposta a Incidentes (IR) da Sophos em 25 setores, ocorridos entre 1 de janeiro de 2022 e 30 de junho de 2023. As organizações visadas estavam localizadas em 34 países diferentes, em seis continentes, e 83% dos casos foram registados em organizações com menos de 1.000 colaboradores.


NOTÍCIAS RELACIONADAS

RECOMENDADO PELOS LEITORES

REVISTA DIGITAL

IT SECURITY Nº16 Fevereiro 2024

IT SECURITY Nº16 Fevereiro 2024

NEWSLETTER

Receba todas as novidades na sua caixa de correio!

O nosso website usa cookies para garantir uma melhor experiência de utilização.