Identidades e credenciais corrompidas são utilizadas em ciberataques revela o Relatório de Investigação de Ameaças 2023 da CrowdStrike
9 de agosto de 2023A sexta edição do relatório, que abrange as tendências de ciberataques e técnicas de negociação dos invasores
Organizações são alvo de ciberataques realizados por pessoas reais que contornam o sistema de defesa utilizando identidades e credenciais corrompidas
O Relatório de Investigação de Ameaças 2023 da CrowdStrike revela aumento de 583% em ataques de Kerberoasting, técnica para quebrar senhas de usuários offline, e tempo de fuga dos invasores diminuiu drasticamente.
A CrowdStrike (Nasdaq: CRWD), anunciou hoje o lançamento do Relatório de Investigação de Ameaças 2023.
A sexta edição do relatório, que abrange as tendências de ciberataques e técnicas de negociação dos invasores, são análises feitas pelos caçadores de ameaças e analistas de inteligência de elite da CrowdStrike.
O estudo revela que houve um aumento expressivo nas invasões baseadas em identidade, crescimento nas habilidades dos invasores em atacar nuvem, uso três vezes maior de ferramentas legítimas de monitoramento e gerenciamento remoto (RMM) pelos invasores e um recorde no tempo de fuga dos invasores.
O relatório abrange a atividade dos invasores de julho de 2022 a junho de 2023 e é o primeiro a ser publicado pela nova equipe de Operações Contra Adversários da CrowdStrike, anunciada oficialmente nesta semana no evento Black Hat USA 2023.
As principais conclusões incluem:
O aumento de 583% nos ataques de identidade Kerberoasting destaca uma expansão massiva nas intrusões baseadas em identidade
A CrowdStrike detectou um aumento alarmante de quase 6 vezes em relação ao ano anterior nos ataques por meio da técnica que os invasores utilizam para obter credenciais válidas para contas de serviço do Active Directory (banco de dados e um conjunto de serviços que conectam os usuários aos recursos de rede de que precisam para realizar seu trabalho).
O Kerberoasting muitas vezes fornece aos autores mais privilégios e permite que eles não sejam detectados nos ambientes das vítimas por períodos mais longos.
No geral, 62% de todas as intrusões interativas envolveram o uso indevido de contas válidas, enquanto houve um aumento de 160% nas tentativas de obter chaves sigilosas e outras credenciais por meio de metadados de APIs de nuvem.
Aumento de 312% em relação ao ano anterior no uso de ferramentas legítimas de RMM pelos invasores
Dando mais credibilidade aos relatórios da CISA, os adversários estão usando cada vez mais aplicativos legítimos e conhecidos de gerenciamento remoto de TI para evitar a detecção e se misturar ao ruído da empresa para acessar dados confidenciais, implantar ransomware ou instalar táticas de acompanhamento mais personalizadas.
Foi registrado um recorde de Breakout Time de 79 minutos em 2023, ou seja, o tempo médio que um invasor leva para se mover lateralmente do início do ataque para outros hosts no ambiente da vítima caiu de 84 minutos em 2022 para um recorde de 79 minutos em 2023. Porém, o recorde até hoje foi de apenas sete minutos, registrado em 2023 também.
O setor financeiro registrou um aumento de 80% em relação ao ano anterior nas intrusões interativas
Definidas como intrusões que usam atividades práticas de teclado, tiveram um aumento geral de 40%.
Comunidades de cibercriminosos divulgaram 147% mais anúncios de Access Broker em comunidades criminosas ou clandestinas
Credenciais válidas para venda reduz a barreira de entrada para os atacantes que desejam realizar operações criminosas e permite que os invasores estabelecidos aprimorem suas técnicas de negociação pós-exploração para atingir seus objetivos com mais eficiência. Além disso, houve um aumento de 60% de vendas dessas credenciais na dark web.
O uso de ferramentas de escalonamento de privilégios do Linux pelos invasores triplicou, a fim de explorar ambientes de nuvem
O Falcon OverWatch testemunhou um aumento de três vezes na ferramenta Linux linPEAS, que os invasores usam para obter acesso a metadados da nuvem, atributos de rede e várias credenciais que eles podem explorar.
“Em 2022 rastreamos mais de 215 invasores e percebemos um cenário de riscos que cresceu em complexidade e profundidade à medida que os autores das ameaças se voltam para novas táticas e plataformas, como o uso ilícito de credenciais válidas para atacar vulnerabilidades na nuvem e no software”, afirma Adam Meyers, chefe de Operações de Combate a Invasores da CrowdStrike. “Quando falamos em impedir violações, não podemos ignorar o fato de que os invasores estão ficando mais rápidos e que estão adotando táticas intencionalmente projetadas para burlar os métodos tradicionais de detecção. Os líderes de segurança precisam perguntar às suas equipes se elas têm as soluções necessárias para interromper o movimento lateral de um invasor em apenas sete minutos”, acrescenta Meyers.
Materiais adicionais:
Baixe uma cópia do Relatório de Investigação de Ameaças 2023 completo
Sobre a CrowdStrike
A CrowdStrike (Nasdaq: CRWD), líder global em segurança cibernética, redefiniu a segurança moderna com uma das plataformas nativas de nuvem mais avançadas do mundo para proteger áreas críticas de risco corporativo – endpoints e cargas de trabalho em nuvem, identidade e dados.
Alimentada pela CrowdStrike Security Cloud e pela IA de nível mundial, a plataforma CrowdStrike Falcon® utiliza indicadores de ataque em tempo real, inteligência de ameaças, tradecraft de invasores em evolução e telemetria enriquecida de toda a empresa para fornecer detecções hiper precisas, proteção e remediação automatizadas, busca a ameaças de elite e monitoramento priorizado de vulnerabilidades.
Criada especificamente na nuvem com uma arquitetura única de agente leve, a plataforma Falcon oferece implementação rápida e dimensionável, proteção e desempenho superiores, complexidade reduzida e tempo de retorno imediato.
Segurança tecnológica: os tipos de ciberataques e como evitá-los nas empresas
Ciberataques são a pior ameaça para os governos no mundo em 2023
Ciberataques a aplicações web e APIs disparam 137% em um ano e batem recorde
Você quer acompanhar nosso conteúdo? Então siga nossa página no LinkedIn!