“Os cibercriminosos vão utilizar o caminho de menor resistência”

No início de março, a IT Security e a Sophos organizaram um evento virtual aberto aos leitores. No evento, John Shier, Field CTO da Sophos, apresentou o “Active Adversary Report”, e Bernardete Carvalho, Territory Account Manager da Sophos, e Marcelo Viegas, Head of IT Infrastructure and Cybersecurity do International Iberian Nanotechnology Laboratory, responderam a algumas questões sobre o atual cenário de ciberameaças.

Apesar das inovações nos produtos de cibersegurança, é importante saber como é que as táticas dos adversários estão a evoluir para que as organizações possam ficar mais bem preparados para lidar com as ciberameaças que vão ter de enfrentar.

Usar o mais fácil

John Shier partilhou com a audiência algumas estatísticas dos relatórios do Threat Report da Sophos, com base em dados e na experiência das equipas de resposta a incidentes da Sophos, e explicou que o ransomware tem sido bastante estável nos últimos anos, mas a extorsão de dados está a crescer.

	John Shier, Field CTO da Sophos

“Começamos a verificar que é muito menos óbvio apenas roubar os dados e pedir o pagamento depois, do que é lançar um ataque de ransomware em que é possível encriptar tudo”, explica John Shier.

Ao olhar para o início de um ciberataque, a principal causa é o comprometimento de credenciais e, em 2023, mais de 55% de todos os ataques estiveram dependentes do comprometimento de credenciais. No entanto, John Shier ressalva que a razão do crescimento do comprometimento pode estar ligada a vulnerabilidades como o ProxyShell e Log4j que podem ter escondido a realidade nos anos anteriores.

“Os cibercriminosos vão utilizar o caminho de menor resistência. O que funciona hoje e é mais fácil para alcançarem os seus objetivos, é o que vai ser utilizado”, explica o Field CTO da Sophos, que acrescenta que explorar uma vulnerabilidade e compromisso de credenciais são dois desses caminhos mais utilizados.

O que realmente preocupa, explica John Shier, é que há uma outra estatística ligada ao comprometimento de credenciais: em 43% dos casos, não havia nenhuma autenticação multifator, o que significa que “uma pequena mudança tecnológica poderia ter impedido muitos destes ataques”.

Quase metade (43%) das deteções que são bloqueadas estão relacionadas com infostealers, keylogger e spyware, ou seja, técnicas para conseguir credenciais para, então, levar o ciberataque para uma nova fase.

Menos tempo para atacar

O tempo entre quando um atacante entra primeiro na rede e são detetados tem vindo a diminuir. Atualmente, o tempo médio é de seis dias, ainda que existam ataques que entre a entrada na rede e a deteção tenham passado 50, ou mesmo mais de mil dias.

John Shier revela que esta diminuição do tempo entre a entrada na rede e a deteção tem vindo a descer por vários fatores: um deles é de que as organizações estão a tornar-se melhores na deteção – “quanto mais depressa se deteta, mais depressa se descobre o ponto inicial de acesso”.

Com o ransomware a fazer dez anos em 2023 – desde o CryptoLocker –, os cibercriminosos têm mais prática e “a prática leva à perfeição”. Assim, “os dados mostram que nos estamos a tornar melhor na deteção, mas eles também se estão a tornar melhores”.

Mas, “o ransomware faz barulho e precisa de mais privilégios, trazer mais ficheiros e payloads para os sistemas; a exfiltração de dados não faz tanto barulho. Assim, os cibercriminosos têm de se mover mais depressa porque querem encriptar tudo o que for possível antes de serem detetados”.

Por outro lado, a maioria dos ataques acontece fora das horas habituais de trabalho, uma vez que “é menor provável estarmos a olhar para os sistemas”. Com base nos números de 2022 e 2023, 91% de quase 200 ataques ocorreram depois das horas de trabalho.

Tendências de crescimento

Após a apresentação de John Shier, seguiu-se um debate com Bernardete Carvalho, da Sophos e Marcelo Viegas, do International Iberian Nanotechnology Laboratory, onde foram abordadas questões relacionadas com o atual panorama de ciberameaças. Bernardete Carvalho indicou que a tendência dos ataques é de aumentar, com predominância do ransomware, mas destacando-se também a exfiltração de dados.

Bernardete Carvalho, Territory Account Manager da Sophos

“43% dos atacantes desabilitaram a proteção e apagaram os logs para que não existam vestígios e para dificultar a avaliação das equipas de IT. Os atacantes são ardilosos nas suas táticas e muitos dos ataques ocorrem num espaço extremamente curto”, disse Bernardete Carvalho.

Marcelo Viegas, sente um aumento significativo do número de ataques, mas não só isso; “também na sua complexidade, especialmente porque lidamos com projetos muitas vezes confidenciais, às vezes com países que estão em conflito”. Marcelo Viegas revela que estão a constantemente a monitorizar e a analisar as tendências, especialmente baseados em reports como o da Sophos, “não só para aprimorar as nossas defesas, mas também para adaptar a nossa postura de segurança”.

	Marcelo Viegas, Head of IT Infraestructure and Cybersecurity do International Iberian Nanotechnology Laboratory

Marcelo Viegas também referiu que a adoção de várias tecnologias emergentes é benéfica, mas também traz desafios. “Se pensarmos em IA generativa hoje, também introduz medidas de segurança que são mais difíceis de lidar, novas superfícies de ataque, novas vulnerabilidades, trazem um novo shadow IT, ou seja, trazem coisas novas que antes não tínhamos de lidar”.

Bernardete Carvalho considera que as organizações devem estar em conformidade com as normativas do Centro Nacional de Cibersegurança, assim como ter atenção ao NIS 2, mas, simultaneamente, sensibilizar e formar os utilizadores. “Esta é uma componente importante”, afirma.

Conteúdo co-produzido pela MediaNext e pela Sophos