Tempo de permanência dos atacantes aumentou em 36%
Diz um estudo Sophos que o aumento deve-se à exploração das vulnerabilidades ProxyLogon e ProxyShell, para além dos agentes de acesso inicial.
A Sophos lançou o “Active Adversary Playbook 2022”, que detalha os comportamentos dos atacantes que a sua equipa de Rapid Response registou em 2021.
As conclusões demonstram um aumento de 36% no tempo de permanência dos intrusos, sendo que a média é de 15 dias em 2021, em comparação com 11 dias em 2020.
O relatório também revela o impacto das vulnerabilidades ProxyShell no Microsoft Exchange, que a Sophos acredita que alguns agentes de acesso inicial (Initial Access Brokers – IABs) aproveitaram para violar redes e depois vender esse acesso a outros invasores.
“O mundo do cibercrime tornou-se incrivelmente diversificado e especializado. Os IABs desenvolveram uma indústria caseira de cibercrimes: invadem um alvo, fazem reconhecimento exploratório ou instalam uma backdoor e, em seguida, vendem o acesso ‘chave na mão’ a gangs de ransomware para que estes levem a cabo os seus próprios ataques,” comentou John Shier, Senior Security Advisor da Sophos.
“Neste cenário de ciberameaças cada vez mais dinâmico e baseado em especializações, pode ser difícil para as organizações manter-se a par das ferramentas e abordagens em constante mudança que os invasores utilizam”, disse ainda.
A investigação da Sophos também revela que o tempo de permanência dos intrusos foi mais elevado em ambientes de organizações de menor dimensão.
Os atacantes permaneceram por aproximadamente 51 dias em organizações com até 250 colaboradores, e em média 20 dias em organizações com 3.000 a 5.000 colaboradores.
“Os invasores consideram as organizações maiores mais valiosas, por isso estão mais motivadas para as invadir, conseguir o que querem e sair. As organizações menores têm menos valor reconhecido, pelo que eles podem dar-se ao luxo de se esconder na rede em segundo plano por períodos mais longos” disse Shier.