A Sophos divulgou recentemente o relatório “The Bite from Inside: The Sophos Active Adversary Report”, que analisa as principais tendências em ataques cibernéticos no primeiro semestre de 2024.
O documento destaca a crescente utilização de ferramentas legítimas por parte de cibercriminosos, bem como a persistência de grupos de ransomware como o LockBit, apesar das ações governamentais.
Com base em quase 200 casos de resposta a incidentes analisados pela equipa Sophos X-Ops, o relatório oferece um panorama detalhado das técnicas e comportamentos que moldam o atual cenário de ameaças, evidenciando desafios crescentes para equipas de segurança e administradores de sistemas.
Abuso de ferramentas legítimas e fiáveis aumenta significativamente
O uso de binários “living off the land” (LOLBins) por cibercriminosos aumentou 51% em 2024, em comparação com o ano anterior, e 83% em relação a 2021. Estas ferramentas, integradas nos sistemas Windows e projetadas para fins legítimos, são frequentemente exploradas para manter ataques discretos e persistentes.
Entre os 187 binários da Microsoft identificados no período analisado, o Protocolo de Desktop Remoto (RDP) destacou-se como o mais frequentemente abusado, estando presente em 89% dos casos investigados. Esta tendência reforça um padrão já observado em relatórios anteriores da Sophos, sublinhando a importância de uma monitorização contínua e contextualizada dos ambientes de rede.
John Shier, Field CTO da Sophos, salienta que o abuso destas ferramentas legítimas pode confundir as equipas de segurança, tornando essencial o conhecimento detalhado dos ambientes para detetar atividades suspeitas que frequentemente culminam em ataques de ransomware.
LockBit domina ataques de ransomware
O grupo de ransomware LockBit manteve-se como o mais ativo no primeiro semestre de 2024, apesar de intervenções governamentais que afetaram a sua infraestrutura em fevereiro. Este grupo foi responsável por aproximadamente 21% dos incidentes investigados, consolidando-se como uma ameaça persistente no cenário global de cibersegurança.
Os dados também revelaram que as credenciais comprometidas continuam a ser a principal causa dos ataques, representando 39% dos casos. No entanto, este número mostra uma diminuição em relação a 2023, quando 56% dos ataques foram atribuídos a esta causa inicial.
Redução dos tempos de deteção
Outro ponto relevante destacado pelo relatório foi a redução dos tempos de permanência, ou seja, o intervalo entre o início de um ataque e a sua deteção. Nos casos analisados pela equipa Sophos MDR, o tempo mediano de permanência foi de apenas um dia para a maioria dos incidentes e três dias para ataques de ransomware. Em contrapartida, os casos da equipa Sophos IR registaram um tempo médio de permanência de oito dias.
O relatório também apontou que servidores Active Directory em fim de vida (EOL) foram alvos preferenciais dos cibercriminosos. Versões de servidor como 2019, 2016 e 2012, atualmente fora do suporte geral da Microsoft, destacaram-se como as mais comprometidas, representando um desafio adicional para a segurança das redes.
Conclusão
O relatório da Sophos evidencia a sofisticação crescente dos cibercriminosos e a sua capacidade de explorar ferramentas legítimas para operar com discrição. Além disso, destaca a necessidade de vigilância constante e de práticas de segurança robustas para mitigar os riscos, especialmente num cenário em que grupos como o LockBit continuam a representar ameaças significativas.
Para informações mais detalhadas, o leia o relatório The Bite from Inside: The Sophos Active Adversary Report.
Outros artigos interessantes:
