Tempo entre início e deteção de um ataque diminui para oito dias

No seu Active Adversary Report for Tech Leaders 2023, a Sophos retrata os comportamentos dos cibercriminosos, assim como as ferramentas por eles utilizadas, no primeiro semestre de 2023. Após uma análise de casos de Resposta a Incidentes (IR) entre janeiro e julho, a equipa Sophos X-Ops constatou uma diminuição de dez para oito dias no tempo entre o início de um ataque e a sua deteção – o tempo médio de permanência dos cibercriminosos – em todos os ciberataques. 

Os dados correspondentes ao primeiro semestre de 2023 evidenciam uma menor permanência dos invasores em comparação com o ano passado, que registou uma diminuição de 15 para dez dias. A equipa de investigação conclui ainda que, em média, os cibercriminosos demoram cerca de 16 horas a chegar ao Active Directory (AD), um dos ativos mais críticos de uma empresa.

O AD é geralmente o sistema de gestão da identidade e do acesso aos recursos numa organização. Os cibercriminosos podem utilizá-lo para aumentar os seus privilégios num sistema ao iniciar a sessão e despoletar uma série de atividades maliciosas. 

“Quando um atacante controla o AD, é capaz de controlar a organização. O Active Directory é um alvo pelo seu impacto, agravamento e sobrecarga na recuperação de um ataque”, explica John Shier, Field CTO da Sophos. “Alcançar e controlar o servidor do Active Directory na cadeia de ataque oferece aos adversários várias vantagens. Podem permanecer na rede sem serem detetados, definir o seu próximo passo e, assim que estiverem prontos, invadir a rede das vítimas sem obstruções”.

Recuperar de um domínio comprometido pode ser “um esforço longo e árduo”, uma vez que um ataque ao AD debilita a base de cibersegurança de uma empresa. “Muitas vezes, um ataque bem-sucedido ao AD significa que uma equipa de segurança tem de começar o seu trabalho do zero”, acrescenta Shier.

“Temos sido, de certa forma, vítimas do nosso próprio sucesso. À medida que a adoção de tecnologias como o XDR e de serviços como o MDR aumenta, também aumenta a nossa capacidade de detetar ataques mais cedo. A redução dos tempos de deteção leva a uma resposta mais rápida, o que se traduz numa janela de operação mais curta para os atacantes”, afirma Shier. “Ao mesmo tempo, estes têm estado a aperfeiçoar os seus manuais, especialmente no caso dos afiliados de ransomware experientes e com bons recursos, que continuam a acelerar os seus ataques aparatosos face a defesas melhoradas”. 

Em particular, o tempo de permanência nos ataques de ransomware diminuiu para cinco dias, sendo o principal ataque nos casos de IR analisados pela Sophos, com um peso de 69%. A grande maioria destes ataques (81%) ocorre fora do horário de trabalho tradicional. O estudo mostra que apenas cinco ataques de ransomware foram realizados num dia útil, entre os ataques lançados durante o horário de trabalho.

O número total de ataques detetados foi aumentando com o avançar da semana, sobretudo os ataques de ransomware, cuja maioria (43%) é detetada numa sexta-feira ou num sábado.

No entanto, a redução do tempo de deteção e, consequentemente, de permanência dos cibercriminosos não significa automaticamente que as empresas estejam mais seguras, defende Shier. O Field CTO da Sophos prossegue: “este facto é evidenciado pela uniformização dos tempos de permanência em ataques sem ransomware. Os atacantes continuam a entrar nas nossas redes e, quando não estão pressionados pelo tempo, tendem a ficar mais tempo”.

Por fim, Shier conclui que “todas as ferramentas do mundo não serão suficientes para nos salvar se não estivermos atentos. Para além das ferramentas certas, necessitamos de monitorização contínua e proativa para garantir que os criminosos têm um dia pior do que nós. É aqui que o MDR pode realmente colmatar a lacuna entre atacantes e equipas de defesa – porque mesmo quando os clientes não estão a ver o que se passa, nós estamos”.