Phishing, vulnerabilidades de software causam 70% dos incidentes cibernéticos
De acordo com um novo relatório da Palo Alto Networks, o uso intenso de vulnerabilidades de software corresponde ao comportamento oportunista de agentes de ameaças que vasculham a Internet em busca de vulnerabilidades e pontos fracos nos quais se concentrar.
O Relatório de Resposta a Incidentes da Unidade 42 de 2022 oferece uma infinidade de insights obtidos da Unidade 42 pelo extenso trabalho de resposta a incidentes (IR) da Palo Alto Networks, aproveitando uma amostragem de mais de 600 casos de IR da Unidade 42, para ajudar os CISOs e as equipes de segurança a entender os maiores riscos de segurança enfrentam e onde priorizar recursos para reduzi-los.
No relatório, a Unidade 42 identificou que finanças e imóveis estavam entre os setores que receberam as maiores demandas médias de resgate, com uma demanda média de quase US$ 8 milhões e US$ 5,2 milhões, respectivamente. No geral, ransomware e comprometimento de e-mail comercial (BEC) foram os principais tipos de incidentes aos quais a equipe de resposta a incidentes respondeu nos últimos 12 meses, representando aproximadamente 70% dos casos de resposta a incidentes.
"No momento, o cibercrime é um negócio fácil de entrar por causa de seu baixo custo e geralmente altos retornos. Como tal, os agentes de ameaças iniciantes e não qualificados podem começar com acesso a ferramentas como hacking-as-a-service, tornando-se mais populares e disponíveis na dark web", diz Wendi Whitmore, vice-presidente sênior e chefe da Unidade 42 da Palo Alto Networks.
“Os invasores de ransomware também estão se tornando mais organizados com seu atendimento ao cliente e pesquisas de satisfação à medida que se envolvem com cibercriminosos e organizações vitimadas”.
As principais tendências abordadas no relatório incluem:
Ransomware
Uma nova vítima de ransomware é postada em sites de vazamento a cada quatro horas. Identificar a atividade de ransomware com antecedência é fundamental para as organizações. Normalmente, os agentes de ransomware só são descobertos depois que os arquivos são criptografados e a organização da vítima recebe uma nota de resgate. A Unidade 42 identificou que o tempo médio de permanência (o que significa que o tempo que os agentes de ameaças passam em um ambiente direcionado antes de serem detectados) observado para ataques de ransomware foi de 28 dias. As demandas de resgate chegaram a US$ 30 milhões, e os pagamentos reais chegaram a US$ 8 milhões, um aumento constante em comparação com as descobertas do Relatório de Ransomware da Unidade 42 de 2022. Cada vez mais, as organizações afetadas também podem esperar que os agentes de ameaças usem extorsão dupla, ameaçando divulgar publicamente informações confidenciais se um resgate não for pago.
BEC
Os cibercriminosos usaram uma variedade de técnicas em esquemas de fraude eletrônica de comprometimento de e-mail comercial. Formas de engenharia social, como phishing, oferecem uma maneira fácil e econômica de obter acesso oculto, mantendo um baixo risco de descoberta. De acordo com o relatório, em muitos casos, os cibercriminosos estão simplesmente pedindo a seus alvos involuntários que entreguem suas credenciais X e as obtenham. Uma vez que tenham acesso, o tempo médio de permanência para ataques BEC foi de 38 dias, e o valor médio roubado foi de US$ 286.000.
Indústrias afetadas
Os invasores seguem o dinheiro quando se trata de atacar setores; no entanto, muitos invasores são oportunistas, simplesmente varrendo a Internet em busca de sistemas onde possam aproveitar vulnerabilidades conhecidas. A Unidade 42 identificou os principais setores afetados em casos de resposta a incidentes como finanças, serviços profissionais e jurídicos, manufatura, saúde, alta tecnologia e atacado e varejo. As organizações desses setores armazenam, transmitem e processam grandes volumes de informações confidenciais monetizáveis que atraem os agentes de ameaças.
O relatório também revela algumas estatísticas de casos de IR que os ciberataques não querem que você saiba:
Os três principais vetores de acesso inicial usados por agentes de ameaças foram phishing, exploração de vulnerabilidades de software conhecidas e ataques de credenciais de força bruta focados principalmente no protocolo de desktop remoto (RDP). Combinados, esses vetores de ataque representam 77% das causas-raiz suspeitas de intrusões.
O ProxyShell foi responsável por mais da metade de todas as vulnerabilidades exploradas para acesso inicial em 55%, seguido por Log4J (14%), SonicWall (7%), ProxyLogon (5%) e Zoho ManageEngine ADSelfService Plus (4%).
Em metade de todos os casos de RI, nossos investigadores descobriram que as organizações não tinham autenticação multifator em sistemas críticos voltados para a Internet, como webmail corporativo, soluções de rede privada virtual (VPN) ou outras soluções de acesso remoto.
Em 13% dos casos, as organizações não tinham mitigações para garantir o bloqueio de contas para ataques de credenciais de força bruta.
Em 28% dos casos, ter procedimentos de gerenciamento de patches inadequados contribuiu para o sucesso do agente de ameaças.
Em 44% dos casos, as organizações não tinham uma solução de segurança de detecção e resposta de endpoint (EDR) ou de detecção e resposta estendida (XDR), ou não foi totalmente implantada nos sistemas afetados inicialmente para detectar e responder a atividades maliciosas.
Em 75% dos casos de ameaças internas envolveram um ex-funcionário
A ServDigital é especialistas no oferecimento de projetos e soluções personalizadas para Segurança de Dados e conformidade da LGPD.
www.servdigital.com.br
#servdigital #segurançadedados #proteçãodedados #segurançadigital #cibersegurança #ciberataque #ransomware #malware