Detectar Movimento Lateral Antes da Cifragem
Resposta direta
Entre invasão inicial e cifragem do ransomware, o atacante passa em média 7-30 dias na rede em movimento lateral. Esse é o intervalo onde detecção e contenção evitam o desastre. 8 sinais comportamentais identificam o ataque em curso antes do ponto final.
O que é movimento lateral
Movimento lateral é o conjunto de técnicas que o atacante usa para se mover do host inicialmente comprometido (geralmente uma estação de trabalho via phishing) até alcançar Active Directory, servidores críticos e backups. Ferramentas comuns: Mimikatz (extração de credenciais), PsExec (execução remota), Cobalt Strike Beacon (C2), BloodHound (mapeamento de AD), Rubeus (kerberoasting), AnyDesk/Atera (persistência). Cada técnica deixa rastros detectáveis se há logging adequado.
8 sinais que indicam movimento lateral em curso
- 1.Logins de usuário em servidores que não acessa normalmente. Conta admin que usa AD apenas para autenticar Outlook subitamente logando em servidores SQL ou ESXi. Anomalia mais comum. Sentinel/Splunk com baseline detecta.
- 2.Execução de Mimikatz / SharpHound em endpoint. EDR moderno detecta. CrowdStrike Falcon, SentinelOne, Defender for Endpoint geram alerta crítico.
- 3.Tráfego SMB lateral incomum. Estações de trabalho normalmente não falam SMB entre si. Tráfego porta 445 entre estações = sinal vermelho. Firewall interno ou EDR de rede captura.
- 4.Criação de novas contas de admin. Conta criada fora do horário, com privilégio elevado, sem ticket de mudança = invasão em curso. Auditoria de AD via Sentinel ou logs nativos.
- 5.Tarefas agendadas em servidores. schtasks /create executado remotamente. Atacantes criam tarefas para persistência. Sysinternals Sysmon + correlação detecta.
- 6.Cobalt Strike Beacon C2 patterns. Comunicação para domínios incomuns em intervalos regulares (jitter de 30-90s típico). EDR de rede com IoCs atualizados detecta.
- 7.Acesso a vCenter / ESXi de IP incomum. Atacantes ESXi-Linux (BlackCat, LockBit, Akira) precisam logar no vCenter. Logs do vCenter mostram source IP — alerte qualquer IP fora da gerência.
- 8.Tentativas de acesso ao backup. Veeam B&R, Commvault, repositório S3 — acessos anômalos em horários estranhos ou de credenciais incorretas. Atacante mapeando o backup ANTES de cifrar.
Perguntas frequentes
Quanto tempo leva da invasão até cifragem?
Dwell time médio em 2024: 11 dias (relatório Mandiant). Variantes mais sofisticadas (LockBit, BlackCat): 20-45 dias. Mais oportunistas (Akira): 5-10 dias. Tempo de detecção e contenção é a métrica que importa.
EDR detecta tudo isso?
EDR moderno (CrowdStrike, SentinelOne, Defender Plan 2) detecta a maioria. Sem EDR, depende de SIEM + correlação manual. Empresas sem EDR tipicamente descobrem ataque só na cifragem.
Posso correlacionar logs sem SIEM caro?
Sim. Wazuh (open source) faz SIEM básico. Microsoft Sentinel: ~US$2-4/GB/mês ingerido, viable para PME. Splunk e QRadar são mais caros. Sem agregação de logs, detecção fica reativa.
O que fazer ao detectar movimento lateral?
1) NÃO alerte o atacante (mantenha rotina aparente). 2) Snapshot dos hosts críticos. 3) Acione resposta emergencial profissional. 4) Em paralelo, isole segmentos de rede mais críticos. 5) Reset KRBTGT e contas admin nas próximas horas. 6) Hardening agressivo. Janela típica para conter: 24-72h.
Quanto custa montar detecção decente?
PME: EDR (~R$50-100/host/mês) + Wazuh ou Sentinel (~R$1000-3000/mês). Médio: adicionar SOC 24×7 terceirizado (~R$15-50K/mês). Custo é fração do impacto de um ataque com cifragem completa.
Suspeita de comprometimento em curso?
Análise de IoCs + correlação de logs em até 6h. Cadeia de custódia se houver indício de comprometimento.