Novos dados avançados pela Sophos revelam que o tempo entre o início de um ciberataque e a sua deteção diminuiu de 10 para oito dias no primeiro semestre de 2023. Ainda em 2022, o tempo entre o início de um ciberataque e a sua deteção já tinha diminuído de 15 para 10 dias.

Em comunicado, os investigadores da Sophos explicam que o tempo entre o início de um ciberataque e a sua deteção também diminuiu nos ataques de ransomware, neste caso, para cinco dias.

O ransomware foi o tipo de ameaça mais prevalente nos casos de Resposta a Incidentes (IR) registados pela equipa Sophos X-Ops, representando 69% dos casos investigados.

Os investigadores notaram que, em 81% dos ataques de ransomware, a carga maliciosa final foi lançada fora do horário de trabalho tradicional. No que toca aos ataques lançados durante o horário de trabalho, apenas cinco ocorreram num dia útil.

Além disso, o número de ataques detectados registou uma tendência de aumento com o avançar da semana, sobretudo no que respeita a ransomware. Os dados indicam que 43% destes ataques foram detectados numa sexta-feira ou sábado.

De acordo com a informação partilhada, os cibercriminosos levaram, em média, cerca de 16 horas a chegar ao Active Directory (AD), considerado como um dos ativos mais críticos de uma empresa.

Os especialistas detalham que, uma vez que o AD gere a identidade e o acesso aos recursos dentro das organizações, os cibercriminosos podem atacá-lo para aumentar os seus privilégios num sistema, sendo depois capazes de realizar uma variedade de atividades maliciosas.

Empresas podem estar pouco preparadas para a nova diretiva europeia de cibersegurança
Empresas podem estar pouco preparadas para a nova diretiva europeia de cibersegurança
Ver artigo

“Atacar a infraestrutura do Active Directory de uma organização faz sentido do ponto de vista ofensivo”, afirma John Shier, Field CTO da Sophos. O responsável detalha que o AD proporciona aos cibercriminosos que o conseguem atacar um amplo acesso a sistemas, aplicações, recursos e dados. “Quando um atacante controla o AD, é capaz de controlar a organização”, realça.

Os atacantes podem “permanecer na rede sem serem detetados, definir o seu próximo passo e, assim que estiverem prontos, invadir a rede das vítimas sem obstruções”, indica John Shier. Para as empresas afetadas por este tipo de ataques, a recuperação é um esforço longo e árduo, nas palavras do Field CTO da Sophos.

“À medida que a adoção de tecnologias como o XDR [Extended Detection and Response] e de serviços como o MDR [Managed Detection and Response] aumenta, também aumenta a nossa capacidade de detetar ataques mais cedo”, enfatiza John Shier.

Segundo o responsável, “a redução dos tempos de deteção leva a uma resposta mais rápida, o que se traduz numa janela de operação mais curta para os atacantes”.

No entanto, a adoção destas tecnologias “não significa que estejamos coletivamente mais seguros” ,indica John Shier. “Todas as ferramentas do mundo não serão suficientes para nos salvar se não estivermos atentos. Além das ferramentas certas, necessitamos de monitorização contínua e proativa para garantir que os criminosos têm um dia pior do que nós”.