Os invasores preferem contas válidas comprometidas por meio de phishing a qualquer outro método de infecção para obter acesso aos ambientes das vítimas, de acordo com um relatório da IBM. Segundo o estudo, 30% de todos os incidentes aos quais a X-Force respondeu em 2023 foram devido à exploração de contas válidas, uma vez que se tornou o ponto de entrada mais comum aos sistemas das vítimas durante o ano. Houve um aumento de 71% ano após ano no volume desses ataques, de acordo com o documento.
Seguindo de perto como o segundo vetor de acesso inicial mais utilizado, o phishing perdeu o primeiro lugar, registrando uma queda de 44% no volume de ataques. A equipe especializada em pesquisa de segurança e inteligência de ameaças da IBM atribuiu a queda significativa à contínua adoção e reavaliação de técnicas e estratégias de mitigação de phishing, além da migração dos invasores para contas válidas.
O relatório, que se baseia em dados de testes de penetração de incidentes em 2023 do IBM X-Force, também encontrou configurações incorretas de segurança e aplicação de autenticação deficiente, já que os principais riscos de segurança de aplicativos expõem as organizações a ataques baseados em identidade.
O relatório identificou as configurações incorretas de segurança como o principal risco de aplicações web, pois são responsáveis por 30% de todas as vulnerabilidades de aplicações. Um dos principais riscos, que pode enfraquecer a autenticação multifatorial (MFA) por meio de sequestro de sessão, é “permitir sessões de usuários simultâneas”, aponta o estudo.
Falhas de identificação e autenticação, com 21%, foram o segundo principal risco, incluindo políticas de senhas fracas, como políticas de senha do Active Directory (19%), nomes de usuários verificáveis por meio de erros (17%), assinatura de bloco de mensagens do servidor (SMB) não necessária e URLs contendo informações confidenciais em 8% cada.
Além de ser apenas uma preocupação, a falta de devida diligência de segurança também contribuiu para um grande número de ataques reais em 2023, uma vez que o relatório indicou que em 84% dos incidentes em infraestruturas críticas, os vetores de acesso iniciais poderiam ter sido mitigados com rotinas básicas de segurança.
“Para a maioria dos incidentes em infraestrutura crítica aos quais a equipe do X-Force respondeu, o vetor de acesso inicial poderia ter sido mitigado com melhores práticas e fundamentos de segurança, como gerenciamento de ativos e patches, proteção de credenciais e o princípio do menor privilégio”, disse o relatório.
O estudo da IBM identificou também uma queda nos incidentes de ransomware empresarial, resultado de uma melhor capacidade das organizações de se prevenirem de tais ataques e da “política” de recusa de pagamento de resgates em favor da reconstrução da infraestrutura, caso fossem atacadas. “Os incidentes de ransomware tiveram uma queda de 11,5% em 2023, o que pode ser atribuído ao fato de organizações maiores serem capazes de interromper os ataques antes que o ransomware seja implantado e, às vezes, também optarem por não pagar resgates em favor da reconstrução da infraestrutura se o ransomware se instalar”, diz o relatório.
“Essas mudanças sugerem que os operadores de ameaças reavaliaram as credenciais como um vetor de acesso inicial confiável e preferencial”, ressalta o relatório. “À medida que os operadores de ameaças investem em infostealers para aumentar o seu repositório de credenciais, as empresas são empurradas para um novo cenário de defesa em que a identidade já não pode ser garantida.”
Segundo a IBM, houve um aumento de 266% nas atividades relacionadas aos infostealers em 2023 na comparação com 2022, com vários novos malwares estreando no segundo semestre de 2022, como Rhadamanthys, LummaC2 e StrelaStealer. “A tendência ascendente dessas atividades de roubo de informações provavelmente contribuiu para o aumento da exploração de contas válidas”, finaliza o relatório.
Fonte: Cisoadvisor