Resumo XDR 2024: Ransomware aumenta quatro vezes num ano de ameaças complexas

Em 2024, Barracuda Managed XDR registou muitos trilhões de eventos de TI para identificar as ameaças de segurança críticas que visam organizações e neutralizar atividades maliciosas. Analistas de ameaças no Centro de Operações de Segurança (SOC) da Barracuda Managed XDR utilizaram este conjunto de dados único para destacar as formas mais comuns que os agentes de ameaça tentaram — e, em última análise, falharam — em violar e interromper alvos em 2024.

Principais conclusões

• Em 2024, a Barracuda Managed XDR registou 11 biliões de eventos de TI — cerca de 350.000 eventos por segundo — para identificar um milhão de riscos potenciais.
• Destes, 16,812 casos confirmados de instâncias maliciosas exigiram ação defensiva imediata. Estas ameaças de alta gravidade foram distribuídas de forma relativamente uniforme ao longo do ano.
• As ameaças de Ransomware aumentaram quatro vezes durante o ano, provavelmente impulsionadas pela atividade prolífica de Ransomware-as-a-Service (RaaS).
• Ameaças de email que chegaram às caixas de entrada dos utilizadores foram a quinta ameaça mais detetada no geral, destacando o crescente risco de ataques sofisticados e evasivos possibilitados por plataformas Phishing-as-a-Service (PhaaS).

Os grandes números de 2024

O número de eventos de TI que ocorrem em qualquer organização a qualquer momento é imenso. Para as equipas de segurança, cada login, ligação, criação de ficheiros, transferência de dados e mais pode ser um funcionário a fazer o seu trabalho ou um adversário a tentar violar a rede e implementar um ciberataque.

Os profissionais de segurança precisam filtrar o ruído para descobrir atividades suspeitas e maliciosas, compreender o seu significado e como pode ser contida e neutralizada. Os números para o Barracuda Managed XDR dão uma ideia do que os defensores estão a enfrentar:

• Em 2024, o Barracuda Managed XDR registou 11 biliões de eventos de TI – 350,000 eventos por segundo.
• Pouco mais de 1 milhão foram sinalizados como um risco potencial. Cada um foi verificado para avaliar a sua natureza ou intenção maliciosa.
• Destes, 16,812 foram identificados como ameaças de alta gravidade que requeriam ação defensiva imediata.
• Isso é 0,00000015% do total de eventos de TI registados. Impossível de encontrar sem motores potentes, ferramentas de análise e experiência humana.

Cerca de 2.000 alertas de alta gravidade foram contidos pela Resposta a Ameaças Automatizada do Barracuda Managed XDR, que permite a deteção e resposta em tempo real a ataques sem a necessidade de intervenção manual.

O fuso horário cibernético

Os ciberataques estão a ficar mais rápidos. Os avanços nas ferramentas e estratégias de segurança significam que os intrusos são agora mais facilmente e rapidamente detetados e removidos da rede. Os agentes de ameaça responderam acelerando os seus ataques. Os dados de deteção e exemplos de incidentes do Barracuda Managed XDR mostram como estas duas abordagens podem ser comparadas.

O cenário de ameaças em 2024: Ransomware desenfreado e riscos no DEFCON 3

O nível de ameaças de alta gravidade mitigadas pelo Barracuda Managed XDR — aquelas que exigiam ação defensiva imediata — manteve-se relativamente consistente ao longo de 2024, com cerca de 1.000 a 2.000 por mês.

Para as organizações, isso significa que a sua linha de base de segurança diária deve ser um estado elevado de vigilância e prontidão de resposta. (DEFCON 3 é defined como a necessidade de aumentar a prontidão para acima do normal, com a Força Aérea pronta para mobilizar em 15 minutos.)

Ransomware é a exceção a este estado maioritariamente estável. Os dados de ameaças de ransomware do Barracuda Managed XDR baseiam-se na deteção de instâncias (ferramentas, técnicas e comportamentos) que indicam um provável ataque de ransomware. Estas deteções revelam um aumento de quatro vezes nas ameaças de ransomware ao longo do ano.

Este aumento é provavelmente impulsionado pela prevalência de ofertas de Ransomware como Serviço (RaaS). Os desenvolvedores por trás das plataformas de RaaS frequentemente dispõem de tempo, recursos e habilidades para investir fortemente em conjuntos de ferramentas e modelos avançados e evasivos. O modelo operacional de RaaS também amplia o leque de atacantes que implementam ransomware, tornando-o acessível a qualquer pessoa disposta a alugar e utilizar os kits.

Principais deteções XDR no geral para 2024

As cinco ameaças mais comuns direcionadas a sistemas protegidos por XDR mostram onde os agentes de ameaça esperam que os clientes sejam mais vulneráveis.

Por exemplo, muitos esperam encontrar medidas de autenticação inadequadas para logins de contas, políticas de senha fracas e falta de educação em relação a social engineering, juntamente com VPNs mal protegidas e uso mal gerido de protocolos de ambiente de trabalho remoto.

As cinco principais deteções abrangem atividades e cargas úteis observadas nas fases iniciais da cadeia de ataque, onde as ameaças são mais propensas a serem detetadas e bloqueadas por uma cobertura XDR abrangente.

Incluem deteções de tráfego de rede proveniente de IPs ou geolocalizações maliciosas ou incomuns conhecidas, deteções de ‘viagem impossível’ do Microsoft 365, onde dois logins consecutivos na mesma conta estão geograficamente demasiado distantes para serem ambos legítimos, e ataques de pulverização de senhas em massa para ver se uma combinação conhecida ou comum consegue comprometer uma conta.

Deteções de ameaças de endpoint abrangem um amplo espectro de ameaças, incluindo, mas não se limitando a elementos inofensivos, aplicações potencialmente indesejadas (PUA), adware, spyware, downloaders, criptomineiros, documentos maliciosos, exploits, vírus, worms, Trojans, backdoors, rootkits, ladrões de informação, ransomware, shells interativos ou remotos, movimentos laterais e mais.

O elevado número de deteções de ameaças de email suspeitas pós-entrega sublinha a crescente sofisticação e natureza evasiva dos ataques baseados em email.

Relatórios recentes mostram como o phishing e o Phishing-as-a-Service (PhaaS) estão a evoluir e a aumentar a probabilidade de um incidente ultrapassar as defesas iniciais. A resposta e remediação de incidentes pós-entrega automatizada é agora uma parte fundamental da proteção eficaz de email.

Tráfego malicioso principal em 2024

As integrações do Barracuda Managed XDR Intrusion Detection System (IDS) examinam o tráfego que tenta atravessar um firewall para entrar na rede de uma organização. A análise das principais detecções de IDS em 2024 mostra atores de ameaça a direcionar firewalls com ferramentas para apoiar o acesso inicial e a descoberta, bem como a implementação contínua de um ataque.

Como manter-se seguro num mundo de ameaças complexas e evasivas

Implementar uma segurança eficaz e abrangente é mais importante do que nunca.

As organizações precisam começar pelo básico. Isto deve incluir autenticação multifator robusta e controlos de acesso, uma abordagem sólida para a gestão de patches e proteção de dados, e formação regular em consciencialização de cibersegurança para os funcionários.

No entanto, perante ameaças contínuas de alta gravidade que visam superfícies de ataque digital cada vez mais amplas, combinadas com a tendência para ataques mais rápidos, complexos e evasivos, é provável que a maioria das organizações precise de uma segurança mais robusta e de ajuda para a gerir.

Os atacantes explorarão todas as falhas de segurança que encontrarem para avançar nos seus ataques. Uma solução XDR abrangente que integra segurança de rede, endpoint, servidor, cloud e e-mail, mesmo quando as ferramentas provêm de diferentes fornecedores, significa que cada canto da infraestrutura digital é monitorizado e protegido com medidas de segurança avançadas e um espectro completo de ferramentas defensivas, combinadas com estratégias proativas de caça e resposta a ameaças. Isto permite uma ação rápida e minimiza a janela de oportunidade para os agentes maliciosos.  

Os resultados deste relatório baseiam-se em dados de deteção de Barracuda Managed XDR, uma plataforma de visibilidade, deteção e resposta estendida (XDR), apoiada por um centro de operações de segurança (SOC) 24×7 que oferece aos clientes serviços de deteção de ameaças, análise, resposta a incidentes e mitigação liderados por humanos e IA em regime de permanência.

As funcionalidades do Barracuda Managed XDR, como a inteligência de ameaças, Resposta Automática a Ameaças, e a integração de soluções mais amplas como Segurança de Servidor XDR, Segurança de Rede XDR e Segurança na Cloud XDR, oferecem proteção abrangente e podem reduzir drasticamente o tempo de permanência.