A Sophos anunciou os resultados do estudo Active Adversary Report for Tech Leaders 2023, que mostra os comportamentos e as ferramentas usados pelos atacantes durante o primeiro semestre do ano e que é baseado em investigações de resposta a incidentes em tudo o mundo.
Entre as principais conclusões está o facto de o tempo entre o início de um ataque e sua detecção ter diminuiu de dez para oito dias em todos os ataques. Em 2022, o tempo médio de permanência diminuiu de 15 para 10 dias.
Além disso, o tempo de permanência nos ataques de ransomware também diminuiu. Foram o tipo de ataque mais prevalente nos casos de IR analisados, representando 69% dos casos investigados, e o tempo médio de permanência dos cibercriminosos nestes ataques foi de apenas cinco dias.
A equipa de investigadores Sophos X-Ops descobriu que, em média, os atacantes levaram menos de um dia – cerca de 16 horas – a chegar ao Active Directory, um dos activos mais críticos de uma empresa.
Por outro lado, em 81% dos ataques de ransomware, o payload final do ataque foi lançado fora do horário de trabalho tradicional. Entre os ataques lançados durante o horário de trabalho, apenas cinco ocorreram num dia útil. O número de ataques detectados foi aumentando à medida que a semana avançava, sobretudo no caso dos ataques de ransomware. Quase metade (43%) dos ataques de ransomware foi detectada numa sexta-feira ou sábado.
John Shier, Field CTO da Sophos, explica que «à medida que a adopção de tecnologias como o XDR e de serviços como o MDR aumenta, também aumenta a nossa capacidade de detectar ataques mais cedo. A redução dos tempos de detecção leva a uma resposta mais rápida, o que se traduz numa janela de operação mais curta para os atacantes».
O responsavel alerta qque isso «não significa que estejamos colectivamente mais seguros. Este facto é evidenciado pela uniformização dos tempos de permanência em ataques sem ransomware. Os atacantes continuam a entrar nas nossas redes e, quando não estão pressionados pelo tempo, tendem a ficar mais tempo. Para além das ferramentas certas, necessitamos de monitorização contínua e proactiva para garantir que os criminosos têm um dia pior do que nós».
