abril 23, 2025

[Segurança] Nova versão do "2025 Data Breach Investigations Report"

O relatório "Data Breach Investigations Report" (DBIR), da Verizon, é um dos mais tradicionais do mercado - um dos mais antigos e com informações muito úteis na prática.


Neste ano não foi diferente: o 18o relatório DBIR traz 117 páginas com muita informação, um detalhamento do cenário de ameaças baseado em 22.052 incidentes de segurança analisados e 12.195 vazamentos, em 139 países, ocorridos em organizações de todos os portes e tipo, ocorridos entre 1º de novembro de 2023 e 31 de outubro de 2024.  Pelo sétimo ano consecutivo, a Apura Cyber Intelligence é contribuidora oficial do DBIR, compartilhando a perspectiva sobre o cenário brasileiro de ameaças. 

O relatório traz uma análise detalhada do cenário de ameaças, incluindo as principais características dos incidentes: o perfil dos atores, suas motivações, técnicas de acesso inicial, principais alvos, e muito mais. O relatório sempre traz também uma análise separada por setor da economia e uma breve análise regional. 

Nesse ano, as três grandes novidades foram uma breve análise, bem específica, sobre o uso da Inteligência  Artificial (IA) por atores maliciosos e seus riscos, a exploração de vulnerabilidades zero-day em dispositivos de borda para conseguir o acesso inicial, e uma seção com análise detalhada do roubo de credenciais por infostealers e seu uso para invasão e comprometimento das organizações.

O bom humor do time está presente nas notas de rodapé do relatório, além de alguns trechos no decorrer do texto, o que torna a leitura do relatório mais leve :)


Spoiler alert: Se fosse possível resumir todo o relatório em uma frase, eu diria que "a maioria dos incidentes envolve a exploração do elemento humano na intrusão de sistemas, causado pela exploração de credenciais por atacantes externos".

Veja um resumo dos principais resultados do DBIR 2025:

  • Principais estatísticas:
    • 30% das violações foram vinculadas ao envolvimento de terceiros, o dobro do número registrado no ano passado, e motivadas, em parte, pela exploração de vulnerabilidades e interrupções de negócios;
    • Aumento de 34% no número de invasores que exploram vulnerabilidades para obter acesso inicial e causar violações de segurança em comparação com o relatório do ano passado;
    • 54% das vulnerabilidades em dispositivos de perímetro foram totalmente corrigidas pelas organizações no último ano, enquanto quase metade permaneceu sem solução;
    • 44% de todas as violações analisadas mostraram a presença de ransomware, um aumento notável em relação ao relatório do ano passado;
  • A exploração de vulnerabilidades apresentou mais um ano de crescimento como vetor inicial de acesso para violações, atingindo 20%. Esse valor se aproxima do abuso de credenciais, que ainda é o vetor mais comum. Isso representou um aumento de 34% em relação ao relatório do ano passado e foi apoiado, em parte, por exploits de dia zero direcionados a dispositivos de  borda e de VPN (redes privadas virtuais);
    • A porcentagem de dispositivos de borda e VPNs como alvo de exploração de vulnerabilidades foi de 22%, e cresceu quase oito vezes em relação aos 3% encontrados no relatório do ano passado.
    • As organizações trabalharam arduamente para corrigir essas vulnerabilidades em dispositivos de borda, mas a análise mostrou que apenas cerca de 54% delas foram totalmente corrigidas ao longo do ano, com uma média de 32 dias para isso.
  • A presença dos ransomwares, com ou sem criptografia, também apresentou crescimento significativo em 2024 — um aumento de 37% em relação ao relatório do ano passado.
    • Esteve presente em 44% de todas as violações que foram analisadas, acima dos 32%.
    • O valor mediano do resgate pago a grupos de ransomware caiu para US$ 115.000 (de US$ 150.000 no ano passado).
    • 64% das organizações vítimas não pagaram os resgates, um aumento de 50% em relação a dois anos atrás. Isso pode ser parcialmente responsável pela queda nos valores dos resgates.
    • O ransomware também está afetando desproporcionalmente as pequenas organizações:
      • Em organizações maiores, o ransomware é um componente de 39% das violações, enquanto as PMEs sofreram violações relacionadas a ransomware na ordem de 88% no geral.

  • Embora a maioria das violações envolvam o elemento humano, em torno de 60% dos casos, a porcentagem de violações envolvendo terceiros dobrou, passando de 15% para 30%.
    • Houve incidentes notáveis ​​este ano envolvendo reutilização de credenciais em um ambiente de terceiros — nos quais a pesquisa constatou que o tempo médio para remediar segredos vazados descobertos em um repositório do GitHub foi de 94 dias.
    • Também observou-se um crescimento significativo em violações motivadas por espionagem, que agora estão em 17%.
      • Esse aumento se deve, em parte, a mudanças em nossa composição de colaboradores. 
      • Essas violações alavancaram a exploração de vulnerabilidades como vetor de acesso inicial em 70% das vezes, demonstrando o risco de executar serviços sem patches.
      • Também foi descoberto que a espionagem não era a única coisa em que agentes patrocinados pelo Estado estavam interessados ​​— aproximadamente 28% dos incidentes envolvendo esses agentes tinham motivação financeira.
      • Houve especulações na mídia de que este pode ser um caso de criminosos que estão ganhando em dobro para aumentar sua remuneração.

  • Em relação às credenciais roubadas, a análise realizada nos logs de credenciais obtidas por malware para roubo de informações (infostealer) revelou que 30% dos sistemas comprometidos podem ser identificados como dispositivos empresariais.
    • No entanto, 46% dos sistemas comprometidos que continham logins corporativos em seus dados comprometidos não eram gerenciados e hospedavam credenciais pessoais e comerciais. 
    • Esses problemas são provavelmente atribuíveis a um programa BYOD ou a dispositivos de propriedade da empresa sendo usados ​​fora da política permitida.
    • Ao correlacionar as credenciais vazadas em logs do infostealer e em postagens em fóruns (marketplaces) com os domínios de internet das vítimas que foram divulgados por agentes de ransomware em 2024, observamos que:
      • 54% dessas vítimas tiveram seus domínios exibidos nos dumps de credenciais (por exemplo, como URLs aos quais as credenciais supostamente davam acesso)
      • 40% das vítimas tinham endereços de e-mail corporativos como parte das credenciais comprometidas.
      • Isso sugere que essas credenciais podem ter sido utilizadas para essas violações de ransomware, apontando para o potencial envolvimento de agentes de acesso como fonte dos vetores de acesso iniciais.

  • No início de 2025, a inteligência artificial generativa (GenAI) ainda não havia dominado o mundo, embora existam evidências de seu uso por agentes de ameaças, conforme relatado pelas próprias plataformas de IA.
    • Segundo dados fornecidos por um parceiro, o texto gerado sinteticamente em e-mails maliciosos dobrou nos últimos dois anos.
    • Uma ameaça emergente mais próxima da IA ​​é o potencial de vazamento de dados corporativos sensíveis para as próprias plataformas GenAI, já que 15% dos funcionários acessavam rotineiramente os sistemas GenAI em seus dispositivos corporativos (pelo menos uma vez a cada 15 dias).
    • Ainda mais preocupante, um grande número deles usava e-mails não corporativos como identificadores de suas contas (72%) ou usava seus e-mails corporativos sem sistemas de autenticação integrados (17%), provavelmente sugerindo uso fora da política corporativa.

Eu separei mais alguns dados interessantes do DBIR 2025:

  • Vemos o envolvimento do fator humano em violações de dados em 60% este ano, em comparação com 61% no ano passado. A leve queda desde 2022, observada na Figura 14, reforça outra tendência que temos discutido desde o ano passado: o maior envolvimento da exploração de vulnerabilidades como vetor de acesso inicial para violações.


  • Os vetores para obter o acesso inicial:

  • Desde o início do relatório, há 18 anos, os agentes externos são responsáveis pela grande maioria dos incidentes, e ainda estão envolvidos e causando mais problemas do que os agentes internos ou os parceiros juntos.

  • A porcentagem de e-mails maliciosos assistidos por IA dobrou (de cerca de 5% para cerca de 10%) nos últimos dois anos.
  • O Ransomware está presente nas principais ações envolvidas nas invasões e vazamentos:
  • O tempo médio geral para remediação completa de vulnerabilidades mais relevantes (que constam no KEV da CISA) é de 38 dias, e 32 dias para os dispositivos de borda.
  • O tempo médio para identificar um incidente foi de 24 dias (conhecido como "dwell time").
  • Um dos gráficos mais populares do relatório mostra que a intrusão de sistemas é o padrão mais frequente nos incidentes e vazamentos em 2025.
  • O relatório traz uma excelente visão sobre a efetividade das campanhas de simulação de Phishing. 
    • Foi identificado que sempre há uma média de 1,5% dos usuários que clicam em mensagens de phishing;
    • A quantidade de pessoas que reportam as mensagens suspeitas cresceu de 5% para 21% após a realização de campanhas de conscientização nos últimos 30 dias.
  • Ao examinar algumas das vítimas publicadas em sites de extorsão por ransomware, 54% de credenciais delas apareceram em pelo menos um registro de infostealer, e 40% desses registros continham endereços de e-mail corporativos. A Figura 62 mostra a distribuição de quando as credenciais foram encontradas em relação à data de divulgação do ataque pelo autor do ransomware.

Para saber mais:

#DBIR

Postado por em
Marcadores: ,

Nenhum comentário:

Postar um comentário

Assinar: Postar comentários (Atom)
Creative Commons License
Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.