Incidentes de ransomware; pré-ransomware e roubo de dados atormentam as empresas

Os agentes de ameaças estão realizando, cada vez mais, ataques baseados em identidade em uma série de operações que estão se mostrando altamente eficazes, sendo o roubo de credenciais o principal objetivo em um quarto dos compromissos de resposta a incidentes.

O mais recente relatório Cisco Talos Incident Response, que analisa os compromissos de resposta a incidentes, apontou que educação, manufatura e serviços financeiros foram os setores verticais mais afetados no terceiro trimestre de 2024. Combinadas, as organizações afetadas nesses setores foram responsáveis por mais de 30% dos compromissos.

O relatório sinalizou que os agentes de ameaças estão conduzindo ataques cada vez mais baseados em identidade e há uma variedade de operações, como pulverização de senhas, coleta de credenciais, entre outros.

Em entrevista à CDTV, Guilherme Vênere, pesquisador de segurança da Cisco Talos, ressaltou os principais destaques do relatório. Incidentes de extorsão de ransomware, pré-ransomware e roubo de dados representaram quase 40% dos compromissos e, pela quarta vez consecutiva em mais de um ano, o meio mais observado para obter acesso inicial foi o uso de contas válidas, responsável por 66% dos incidentes. E mais: a falta de MFA (autenticação multifator) foi responsável pelas principais falhas de segurança observadas.

Além disso, o documento apontou que os ataques foram facilitados principalmente por binários de uso comum (LoLBins), aplicativos de código aberto, utilitários de linha de comando e infostealers comuns, destacando a relativa facilidade com que essas operações podem ser realizadas. Outro apontamento está relacionado a ataques de força bruta e pulverização de senhas, operações de adversary-in-the-middle (AitM) e ameaças internas.

O levantamento pode ser acessado no blog da Cisco Talos e você encontra o documento na íntegra aqui (em inglês) —   Assista a entrevista.