.
O tempo que os ciberataques levam entre a obtenção de uma posição inicial no ambiente da vítima e a implantação do ransomware caiu para 24 horas, de acordo com um estudo.
Em quase dois terços dos casos analisados pelos pesquisadores da Secureworks, os cibercriminosos implantaram ransomware em um dia e, em mais de 10% dos incidentes, ele foi implantado em cinco horas.
Este tempo médio de permanência caiu significativamente em 2023, abaixo dos 4,5 dias em 2022 e dos 5,5 dias no ano anterior.
As descobertas permaneceram consistentes ao longo dos incidentes do ano, observaram os pesquisadores, não sendo influenciadas por variantes específicas de ransomware de grupos de crimes cibernéticos.
Em alguns casos, os tempos de permanência eram mais longos quando a exfiltração de dados ocorria antes da implantação do ransomware – um cenário de dupla extorsão.
No entanto, isso não foi verdade em todos os casos, e como a Microsoft revelou na semana passada em seu relatório anual de inteligência sobre ameaçasos eventos de dupla extorsão representaram apenas 13% dos incidentes de ransomware no ano passado.
Secureworks disse que os ataques de ransomware estão sendo realizados com menos complexidade do que no passado, com os dias de incidentes de criptografia em toda a organização se tornando cada vez mais difíceis de serem executados.
“A indústria de segurança cibernética está, sem dúvida, melhorando na detecção da atividade que historicamente precedeu o ransomware, como o uso de kits de ferramentas de segurança ofensivas como o Cobalt Strike”, disse Secureworks. disse em seu “Relatório sobre o estado da ameaça”.
“Isso pode ser um fator que força os operadores de ransomware a trabalhar mais rapidamente”.
À medida que as tecnologias de deteção se tornam mais eficazes, os cibercriminosos são naturalmente forçados a adaptar-se a um cenário defensivo em mudança, tendo de concluir os seus ataques mais rapidamente.
Os especialistas da Secureworks também disseram que a popularidade do modelo ransomware como serviço (RaaS) também poderia fornecer uma explicação para ataques mais curtos.
Com cargas úteis de ransomware eficazes, completas com instruções fáceis de seguir para os afiliados usá-las, o modelo RaaS torna possível a execução de ataques até mesmo para os criminosos menos qualificados.
Esta redução da barreira para entrar no mercado de ransomware como afiliado levou a um aumento geral nos ataques, e junho quebrou o recorde de um mês para ataques de ransomware graças à exploração de vulnerabilidades no MOVEit MFT.
Embora o número global de ataques tenha aumentado após um breve abrandamento em 2022, os criminosos estão a recorrer a ataques menos complexos em favor de um maior volume.
A LockBit obteve a maior parcela de sucesso entre as operadoras RaaS este ano, explorando sua notoriedade para colocar seu kit nas mãos do que a Secureworks chama de “conjunto amplo e gerenciado de afiliados”.
Essa abordagem consolidou-o como o grupo de ransomware mais prolífico do ano, registrando quase três vezes mais ataques que a gangue seguinte, Gato preto.
Drivers de acesso inicial
Três principais vetores de acesso foram identificados como aqueles que facilitam os estágios iniciais dos ataques na maioria dos casos.
Os cibercriminosos estão usando ferramentas de verificação de vulnerabilidades e credenciais roubadas em igual medida para ganhar uma posição inicial nas redes dos seus alvos. Cada método facilitou a intrusão inicial em 32% dos ataques de ransomware no ano passado.
“Apesar de muito hype em torno Bate-papoGPT e ataques de estilo IA, os dois ataques de maior perfil de 2023 até agora foram o resultado de infraestrutura não corrigida”, disse Don Smith, vice-presidente de inteligência de ameaças da Secureworks Counter Threat Unit.
“No final das contas, os cibercriminosos estão colhendo os frutos dos métodos de ataque testados e comprovados, por isso as organizações devem se concentrar em se protegerem com higiene cibernética básica e não serem apanhadas em exageros”.
O uso de credenciais roubadas como vetor de acesso inicial (IAV) foi em grande parte atribuído ao aumento acentuado na atividade de infostealer no ano passado.
Os investigadores observaram que os registos gerados pelos infostealers prosperam nos mercados, com o total de listagens anuais no mercado russo a aumentar para mais de 7 milhões, significativamente acima dos 2,9 milhões do ano anterior.
O malware distribuído através de e-mails de phishing também continuou sendo uma tática altamente útil para criminosos que lançam ataques rápidos, facilitando 14% das invasões iniciais e completando os três principais IAVs.
Em vários casos investigados pelos pesquisadores, um e-mail que caiu Malware Qakbot em primeiro lugar, instalei a ferramenta de pentesting frequentemente abusada Golpe de Cobalto que os criminosos usaram posteriormente para implantar o ransomware Black Basta.
Esses incidentes fizeram com que os criminosos usassem malware para obter uma posição inicial, roubar dados e implantar ransomware, tudo em menos de 24 horas. ®
.
