- Os casos de IR e MDR evidenciam que os atacantes estão a exfiltrar dados em apenas três dias.
- As credenciais comprometidas são as principais causas de ataque, pelo segundo ano consecutivo.
- Os atacantes podem assumir o controlo de um sistema em apenas 11 horas: O tempo mediano entre a ação inicial dos atacantes e a sua primeira tentativa (muitas vezes bem-sucedida) de violar o Diretório Ativo (AD, na sua sigla em inglês) – seguramente um dos ativos mais importantes em qualquer rede Windows – foi de apenas 11 horas. Se forem bem-sucedidos, os atacantes conseguem mais facilmente assumir o controlo da organização.
- Principais grupos de ransomware nos casos Sophos: O Akira foi o grupo de ransomware encontrado com mais frequência em 2024, seguido pelo Fog e pelo LockBit (apesar do derrube do LockBit por vários governos no início do ano).
- O tempo de espera baixou para apenas 2 dias: No geral, o tempo de permanência – o tempo entre o início de um ataque e a sua deteção – diminuiu de quatro para apenas dois dias em 2024, em grande parte devido à adição de casos de MDR ao conjunto de dados.
- Tempo de permanência em casos de IR: O tempo de permanência permaneceu estável em quatro dias para ataques de ransomware e 11.5 dias para casos sem ransomware.
- Tempo de espera nos casos de MDR: Nas investigações MDR, o tempo de permanência foi de apenas três dias para os casos de ransomware e de apenas um dia para os casos sem ransomware, o que sugere que as equipas MDR são capazes de detetar e responder aos ataques mais rapidamente.
- Os grupos de ransomware trabalham durante a noite: Em 2024, 83% dos binários de ransomware foram lançados fora do horário de funcionamento local dos alvos.
- O Remote Desktop Protocol continua a dominar: O RDP (na sua sigla em inglês) esteve envolvido em 84% dos casos de MDR/IR, o que faz dele a ferramenta da Microsoft que é mais frequentemente abusada.
- Fechar portas RDP expostas;
- Utilizar autenticação multifator (MFA, na sua sigla em inglês) resistente a phishing sempre que possível;
- Corrigir atempadamente os sistemas vulneráveis, com especial destaque para os dispositivos e serviços voltados para a Internet;
- Implementar EDR ou MDR e garantir que é monitorizado proativamente 24/7;
- Estabelecer um plano global de resposta a incidentes e testá-lo regularmente através de simulações ou exercícios em sala.
Para mais informação:
Leia as últimas notícias sobre segurança na nossa página Naked Security News e saiba mais sobre a Sophos no nosso canal Sophos News.
Proteja todos os Mac e PC em sua casa com os softwares de segurança de próxima geração da Sophos Home.
Sobre a Sophos: A Sophos é líder e inovadora mundial em soluções de segurança avançadas que vencem ciberataques, incluindo serviços de Deteção e Resposta Geridas (MDR, na sua sigla em inglês), serviços de resposta a incidentes e um vasto portefólio de tecnologias de segurança de endpoints, rede, email e Cloud. Sendo um dos maiores fornecedores de cibersegurança totalmente dedicados, a Sophos protege mais de 600.000 organizações e 100 milhões de utilizadores a nível global contra adversários ativos, ransomware, phishing, malware e outros. Os serviços e produtos da Sophos estão ligados através da Sophos Central, a sua consola de gestão baseada na Cloud, e são impulsionados pela Sophos X-Ops, a unidade de inteligência de ameaças transversal da empresa. A inteligência da Sophos X-Ops enriquece todo o Ecossistema Adaptativo de Cibersegurança da empresa, que inclui um data lake centralizado que tira partido de um rico conjunto de APIs abertas e disponíveis para clientes, parceiros, programadores e outros fornecedores de cibersegurança e tecnologias de informação. A Sophos oferece segurança-como-serviço a organizações que necessitam de soluções de segurança totalmente geridas. Os clientes podem gerir a sua cibersegurança diretamente com a plataforma de operações de segurança da Sophos, ou recorrer a uma abordagem híbrida que complementa as suas equipas internas com serviços Sophos, incluindo threat hunting e remediação. A atividade comercial da Sophos é realizada através de parceiros revendedores e fornecedores de serviços geridos (MSPs) em todo o mundo. A empresa tem sede em Oxford, no Reino Unido. Mais informação em www.sophos.com.