Piratas informáticos usaram mais de 500 ferramentas e táticas diferentes em ciberataques, em 2022. A Sophos, líder global em soluções de inovação e segurança cibernética, lançou o seu Active Adversary Report for Business Leaders, fornecendo uma análise detalhada das mudanças no comportamento e técnicas de incursão de ciberataques registados ao longo do ano passado.
De acordo com o relatório, no último ano, os ciberataques utilizaram mais de 500 ferramentas e técnicas diferentes, incluindo 118 binários “Living off the Land” (LOLBins). Ao contrário do malware, os LOLBins são executáveis encontrados naturalmente nos sistemas operacionais, tornando-os muito mais difíceis de bloquear para os defensores quando os invasores os exploram para atividades maliciosas.
O estudo também descobriu que vulnerabilidades não corrigidas e credenciais comprometidas eram as causas mais comuns de ataques. De fato, em metade das investigações incluídas no relatório, os invasores exploraram as vulnerabilidades ProxyShell e Log4Shell – já identificadas em 2021 – para se infiltrar nas organizações. A segunda causa mais comum de ataques foram credenciais comprometidas.
“Quando os atacantes atuais não estão a invadir os sistemas, é porque estão a fazer login neles”, comentou John Shier, Field CTO, Commercial da Sophos. “A realidade é que o ambiente de ameaças cresceu em volume e complexidade, ao ponto de não haver lacunas percetíveis para os defensores explorarem. Para a maioria das organizações, tal já não é possível sem apoio externo”, acrecenta.
Além disso, mais de dois terços (68%) dos ataques investigados pela equipe de RI da Sophos envolveram ransomware, demonstrando que ainda é uma das ameaças mais difundidas às empresas. No entanto, embora o ransomware ainda domine o cenário de ameaças, em 2022 o tempo de permanência do invasor diminuiu de 15 para 10 dias em todos os tipos de ataques. Para ransomware, diminuiu de 11 para 9 dias, mas a queda foi ainda maior para ataques sem ransomware – de 34 dias em 2021, passou para apenas 11 dias em 2022.
O relatório conclui que as organizações que implementaram, com sucesso, defesas em camadas com monitoramento constante da segurança cibernética, obtiveram melhores resultados em termos de gravidade dos ataques. O efeito secundário de defesas aprimoradas é que os invasores precisam acelerar seu trabalho para concluir os ataques. Portanto, ataques mais rápidos também requerem deteção precoce. A corrida entre atacantes e defensores continuará aumentando, e as empresas sem monitoramento proativo sofrerão as maiores consequências.
“Está realmente tudo a acontecer, em todos os lugares e ao mesmo tempo. No entanto, existem ferramentas e serviços disponíveis que podem ajudar as empresas a aliviar parte do ‘fardo’ da defesa, permitindo que se foquem nas suas principais prioridades de negócios,” sublinha John Shiers.
O Active Adversary Report for Business Leaders da Sophos é baseado em 152 investigações de resposta a incidentes (IR) em empresas de 22 setores localizadas em 31 países, nos cinco continentes.