Quando os hackers desejam acessar uma rede alvo, é mais provável que eles lancem um ataque de phishing, explorem vulnerabilidades de software conhecidas ou simplesmente usem força bruta para entrar por meio do protocolo de área de trabalho remota (RDP).
Isto está de acordo com um novo relatório do braço de segurança cibernética da Palo Alto Networks, Unidade 42. Em seu último artigo, a empresa afirma que esses três representam mais de três quartos (77%) de todas as causas suspeitas de invasões.
Indo mais fundo, a Unidade 42 descobriu que mais da metade (55%) de todas as explorações bem-sucedidas de vulnerabilidades de software aproveitaram o ProxyShell (55%), seguido pelo Log4j (14%), SonicWall (7%), ProxyLogon (5%) e Zoho ManageEngine ADSelfService. Mais (4%).
No entanto, as empresas poderiam ter feito muito mais para se manterem seguras. Dos 600 casos de resposta a incidentes que a Unidade 42 analisou para o relatório, as empresas não tinham autenticação multifatorial em sistemas críticos voltados para a Internet em metade dos casos. Enquanto isso, mais de um quarto (28%) tinham procedimentos inadequados de gerenciamento de patches e 44% não tinham um serviço de proteção de endpoint instalado.
BEC e ransomware
Assim que obtiverem acesso, os agentes de ameaças se envolverão em comprometimento de e-mail comercial (BEC) ou em ataques de ransomware. O valor médio roubado por meio do BEC foi de US$ 286,000, disse o relatório, enquanto para ransomware, a maior demanda média foi em finanças, quase US$ 8 milhões.
Uma nova vítima de ransomware tem seus dados publicados em sites de vazamento a cada quatro horas, descobriu o relatório. É por isso que, afirmam os pesquisadores, identificar precocemente a atividade de ransomware é crucial.
Normalmente, os invasores passam até 28 dias na rede alvo, identificando endpoints (abre em uma nova guia) e dados importantes, antes de implantar qualquer ransomware.
“Neste momento, o cibercrime é um negócio fácil de entrar devido ao seu baixo custo e, muitas vezes, aos elevados retornos. Dessa forma, atores de ameaças novatos e não qualificados podem começar a ter acesso a ferramentas como hacking como serviço, tornando-se mais populares e disponíveis na dark web”, disse Wendi Whitmore, vice-presidente sênior e chefe da Unidade 42 da Palo Alto Networks.
“Os invasores de ransomware também estão se tornando mais organizados com seu atendimento ao cliente e pesquisas de satisfação à medida que interagem com os cibercriminosos e as organizações vitimadas.”