Cibercriminosos eliminaram logs de telemetria na maioria dos ataques

A Sophos divulgou o seu “Active Adversary Report for Security Practitioners”, que concluiu que os logs de telemetria estavam em falta em quase 42% dos casos de ataque estudados. Em 82% desses casos, os cibercriminosos desativaram ou apagaram a telemetria para ocultar o seu rasto. O relatório engloba casos de Resposta a Incidentes (IR, na sua sigla em inglês) que a Sophos analisou desde janeiro de 2022 até ao primeiro semestre de 2023.

As lacunas na telemetria diminuem a tão necessária visibilidade sobre as redes e sistemas das organizações, especialmente porque o tempo de permanência dos atacantes (o tempo decorrido desde o acesso inicial até à sua deteção) continua a diminuir, encurtando o tempo que as equipas de defesa têm para responder eficazmente a um incidente.

“O tempo é crucial ao dar resposta a uma ameaça ativa – o tempo entre a deteção do evento de acesso inicial e a atenuação total da ameaça deve ser o mais curto possível. Quanto mais longe na cadeia de ataque o atacante chegar, maior será a dor de cabeça para os responsáveis pela defesa. A telemetria em falta acrescenta ainda mais tempo às remediações, que a maioria das organizações não pode pagar. É por isso que um logging completo e preciso é essencial, mas estamos a ver, com demasiada frequência, que as organizações não têm os dados de que necessitam”, disse John Shier, Field CTO da Sophos.

Neste relatório, a Sophos classifica os ataques de ransomware com um tempo de permanência inferior ou igual a cinco dias como ‘ataques rápidos’, tendo representado 38% dos casos estudados. Os ataques de ransomware ‘lentos’ são os que têm um tempo de permanência superior a cinco dias, e representaram 62% dos casos.

Ao examinar estes ataques de ransomware ‘rápidos’ e ‘lentos’ a um nível granular, não se detetou muita variação nas ferramentas, técnicas e binários “living-off-the-land” (LOLBins) que os atacantes utilizaram, sugerindo que as equipas de defesa não precisam de reinventar as suas estratégias defensivas à medida que o tempo de permanência diminui. No entanto, precisam de estar cientes de que os ataques rápidos podem prejudicar os tempos de resposta rápidos, levando a uma maior destruição.

“Os cibercriminosos só inovam quando têm de o fazer, e fazem-no apenas na medida certa para chegarem ao seu objetivo. Os atacantes não vão mudar algo que está a funcionar, mesmo que passe menos tempo entre o seu acesso e a sua deteção. Esta é uma boa notícia para as organizações, porque não têm de alterar radicalmente a sua estratégia defensiva à medida que os atacantes aceleram os seus calendários. As mesmas defesas que detetam ataques rápidos vão aplicar-se a todos os ataques, independentemente da sua velocidade. Estas incluem telemetria completa, proteções robustas em todos os sistemas e monitorização omnipresente”, afirmou John Shier. “O segredo é aumentar os atritos sempre que possível – se dificultarmos o trabalho dos atacantes, podemos ganhar tempo valioso para responder, prolongando cada etapa de um ataque. No caso de um ataque de ransomware, se tivermos mais fricção, podemos atrasar o tempo até à exfiltração de dados. A exfiltração ocorre, muitas vezes, imediatamente antes da deteção e é muitas vezes a parte mais dispendiosa do ataque”.

Neste relatório, a Sophos dá o exemplo de dois incidentes de ransomware em Cuba. Uma empresa (Empresa A) tinha uma monitorização contínua implementada com serviços de Deteção e Resposta Geridas (MDR), pelo que a Sophos conseguiu detetar a atividade maliciosa e parar o ataque em poucas horas para evitar o roubo de dados. Outra empresa (Empresa B) não tinha esta fricção; o ataque só foi detetado algumas semanas após o acesso inicial, e depois de os atacantes já terem exfiltrado com êxito 75 gigabytes de dados sensíveis. Chamaram então a equipa de IR da Sophos e, um mês depois, ainda estavam a tentar voltar à atividade normal.

O Sophos Active Adversary Report for Security Practitioners baseia-se em 232 casos de Resposta a Incidentes (IR) da Sophos em 25 setores, ocorridos entre 1 de janeiro de 2022 e 30 de junho de 2023. As organizações visadas estavam localizadas em 34 países diferentes, em seis continentes, e 83% dos casos foram registados em organizações com menos de 1.000 colaboradores.