
XDR resumo 2023: Ameaças de alta gravidade em ascensão, atingem pico durante as férias
Em 2023, Barracuda XDR, incluindo a sua equipa de analistas SOC em vigilância 24 horas, analisou quase dois triliões (1 640 mil milhões) de eventos de TI para isolar dezenas de milhares de potenciais ameaças de segurança de alto risco.
Investigadores de segurança analisaram as deteções XDR mais prevalentes para 2023. As suas conclusões, resumidas neste blogue, mostram as formas mais comuns pelas quais os atacantes tentaram — e falharam — obter acesso persistente a redes através de atividades de intrusos, como comprometimento de e-mail empresarial e utilização de código malicioso e exploits.
É importante notar que as tecnologias de segurança defensiva, incluindo XDR, são concebidas para detetar, notificar e bloquear o inimigo à porta ou nas fases iniciais de uma intrusão. Os ataques são impedidos de se concretizarem totalmente — e isto significa que nem sempre sabemos qual poderia ter sido a carga útil final pretendida, como ransomware.
Visão geral de 2023: Tentativas de ataques de alta severidade a aumentar
As deteções de alta gravidade durante 2023 incluíram 66.000 ameaças suficientemente sérias para serem escaladas a um analista SOC para investigação, e mais 15.000 que exigiram uma ação defensiva urgente e imediata. Houve um aumento constante em ambas as categorias de ameaças ao longo do ano — atingindo o pico de outubro a novembro e dezembro.
Estes meses são a época alta para compras online e feriados festivos. Ambos os fatores são potencialmente muito atrativos para atacantes. O primeiro porque oferece um grande número de alvos e oportunidades potenciais, o segundo porque geralmente significa que as equipas de TI estão fora do local de trabalho ou menos atentas.
Houve um segundo pico, menor, em junho — que para muitos países representa um mês de férias importante.
Em conjunto, estes resultados reforçam as conclusões que primeiro reportámos em 2022 — de que os atacantes aproveitam a oportunidade de as pessoas estarem ausentes, ocupadas ou distraídas para lançar ataques mais prejudiciais e de alto risco.

As principais deteções de XDR em 2023 centram-se no abuso de identidade
A maioria das 10 principais deteções de 2023 está focada em algum tipo de comprometimento de identidade, resultando numa conta violada. As deteções que indicam este abuso de identidade incluem logins suspeitos, ataques de força bruta e atacantes a desativar a autenticação multifator.

N= 87,720
O carregamento de um ficheiro executável suspeito pode indicar que os atacantes estão a tentar mover ferramentas adicionais ou malware de um sistema externo, controlado por adversários, como um servidor de comando e controlo, para uma conta comprometida.
As deteções de ameaças no endpoint envolvem um mecanismo que é acionado quando a Segurança de Endpoint do Barracuda Managed XDR identifica uma potencial ameaça dentro de um sistema, independentemente de ter neutralizado a ameaça com sucesso ou não. É crucial notificar prontamente o cliente em qualquer dos cenários, pois tais deteções necessitam de uma investigação mais aprofundada para descobrir como o ficheiro ou processo malicioso conseguiu executar inicialmente.
Esta regra de deteção abrange um amplo espectro de ameaças, incluindo, mas não se limitando a elementos inofensivos, aplicações potencialmente indesejadas (PUA), adware, spyware, downloaders, cryptominers, documentos maliciosos, exploits, vírus, worms, Trojans, backdoors, rootkits, ladrões de informação, ransomware, shells interativas ou remotas, movimentos laterais e mais. Cada categoria requer uma abordagem personalizada para identificação e mitigação eficazes.
Super-heróis suspeitos, fantasmas e insones — como as ferramentas de IA detetam intrusos
As funcionalidades do Barracuda XDR incluem regras de deteção impulsionadas por IA, suportadas pelas nossas capacidades de machine learning, concebidas para identificar atividades de login suspeitas que necessitam de avaliação urgente. As regras baseiam-se em algoritmos e análise de padrões baseados em IA, que modelam a rotina base de um utilizador e sinalizam imediatamente qualquer coisa que esteja fora disso.

Super-heróis suspeitos — regra de deteção de viagem impossível
Esta regra de deteção apanha atacantes que tentam aceder a uma conta comprometida. Quando são detetados dois inícios de sessão a mais de 1.000 km de distância e o utilizador precisaria de estar a viajar a mais de 800 km/h — a velocidade média de um avião — para o fazer, é desencadeado um alerta de segurança. Além disso, a deteção verifica se o início de sessão não está associado a um IP de VPN para eliminar qualquer risco de um falso positivo.
Para ilustrar como isto se verifica na prática, numa ocasião, o Barracuda XDR detetou um utilizador a iniciar sessão em Iowa, nos EUA, e depois em Moscovo, pouco mais de uma hora depois, aparentemente cobrindo 8.267 km a uma velocidade de mais de 7.000 km/hora.
Fantasmas — Regra de deteção de início de sessão de Utilizador Raro
Esta regra de deteção procura nomes de utilizador invulgares que aparecem nos registos de autenticação. Isto ajuda a identificar um intruso a abusar das credenciais de um utilizador inativo ou inativo, talvez porque o utilizador tenha deixado a organização, ou um nome de utilizador que não se enquadra no esquema de nomenclatura da organização. Os atores da ameaça também tentarão criar novos utilizadores como um meio de persistência, e isto será sinalizado como um utilizador desconhecido pela regra de deteção.
Insomníacos — Regra de deteção de Hora Rara para Utilizador
Esta regra de deteção procura um utilizador que inicie sessão a uma hora do dia que seja invulgar para ele. Isto pode dever-se a alguém numa zona horária diferente a tentar aceder à conta comprometida. Além disso, a atividade não autorizada do utilizador ocorre frequentemente fora do horário comercial padrão.
Deteções de tráfego de rede
Barracuda XDR inclui um sofisticado e multilayered Sistema de Deteção de Intrusões (IDS) que analisa o tráfego que percorre a rede de um cliente através de uma porta SPAN (mirror). Este IDS atua como um guardião vigilante, identificando tanto atividades suspeitas quanto potencialmente prejudiciais que podem parecer legítimas, mas estão ligadas a malware reconhecido, ciberataques e várias ameaças de segurança que permeiam a sua rede. Uma parte significativa destas ameaças é automatizada, executada em massa contra redes.
A análise das principais detecções de IDS em 2023 revela uma tendência persistente: os atacantes exploram consistentemente vulnerabilidades críticas antigas e fraquezas que ainda não foram resolvidas através de correções. Isto destaca a necessidade crítica de vigilância contínua e atualizações das medidas de segurança de rede.

Shellshock é uma coleção de bugs com 10 anos que continua a estar entre as 10 principais deteções detetadas pelo IDS integrado da Barracuda. O facto de os ataques Shellshock permanecerem tão prevalentes sugere que os atacantes sabem que ainda existem muitos sistemas não corrigidos por aí. Relatórios sugerem que Shellshock está a ser utilizado por atacantes para lançar ataques de negação de serviço distribuída (DDoS) e para visar sistemas interconectados vulneráveis que estão interligados usando bots e botnets.
Dois anos após a divulgação da vulnerabilidade Log4Shell na utilidade de registo Log4j baseada em Java de código aberto, os exploits contra o bug também continuam a ser comuns. Isto poderia refletir o facto de que o Log4j está tão profundamente embutido em aplicações e outros softwares que muitas organizações podem nem sequer saber que ele está lá — e instâncias vulneráveis podem ser difíceis e demoradas de mitigar.
Como manter-se seguro num mundo de ataques 24/7
Os princípios básicos de segurança são mais críticos do que nunca. Estes devem incluir autenticação robusta e controlos de acesso (autenticação multifator como mínimo e, idealmente, avançando para medidas baseadas em Zero Trust), uma abordagem sólida para gestão de patches e proteção de dados, e formação regular de sensibilização sobre cibersegurança para os colaboradores.
No entanto, face a um número crescente de ameaças de alta gravidade que visam a superfície de ataque digital em expansão de uma organização, e à medida que os atacantes começam a utilizar IA para ataques cada vez mais sofisticados, rápidos e direcionados, os defensores precisarão garantir que as suas ferramentas de segurança tenham o mesmo poder. É essencial uma abordagem de proteção multifacetada e baseada em IA, que tenha vários níveis de deteção e escrutínio cada vez mais aprofundados.
Isto deve estar integrado num quadro de segurança geral que compreenda tecnologias de segurança de próxima geração robustas, apoiadas por análises especializadas e monitorização de segurança 24/7/365 para captar desconhecidos e anomalias que, de outra forma, poderiam passar despercebidos — e um SOC como serviço para responder e mitigar ameaças.
Se não tiver tempo ou expertise interna, um serviço XDR gerido que inclua um SOC como serviço pode monitorizar todos os cantos do seu ambiente de TI por si, todo o dia, todos os dias.
As descobertas baseiam-se em dados de deteção de Barracuda Managed XDR, uma plataforma de visibilidade, deteção e resposta (XDR) ampliada, suportada por um centro de operações de segurança (SOC) 24 horas por dia, 7 dias por semana, que fornece aos clientes serviços contínuos de deteção de ameaças, análise, resposta a incidentes e mitigação, liderados por humanos e IA.

O Relatório de Perspetivas sobre Ransomware 2025
Principais conclusões sobre a experiência e o impacto do ransomware nas organizações em todo o mundo
Subscreva o Blogue Barracuda.
Inscreva-se para receber destaques sobre ameaças, comentários do setor e muito mais.

Segurança de Vulnerabilidades Geridas: Remediação mais rápida, menos riscos, conformidade mais fácil
Veja como pode ser fácil encontrar as vulnerabilidades que os cibercriminosos querem explorar