0
0
Relatório 2020 Cyber Threatscape da Accenture mostra o quanto essas ameaças prolíficas influenciam mundo cibernético
Alguns dos ciberadversários mais habilidosos do mundo e famosas gangues de ransomware estão implantando um arsenal de novas ferramentas de código aberto, explorando ativamente sistemas de e-mail corporativos e usando a extorsão online para intimidar as vítimas e fazer com que paguem resgates. É o que revela o estudo 2020 Cyber Threatscape da Accenture (NYSE: ACN).
Baseado nas capacidades CTI (Cyber Threat Intelligence) da Accenture, o estudo – produzido anualmente pela Accenture Security – analisa as táticas, técnicas e procedimentos usados por alguns dos mais sofisticados ciberadversários do mundo, além de examinar a evolução desses incidentes ao longo do ano seguinte.
O estudo conta com análises da Context Information Security e da Deja vu Security , empresas especializadas em segurança e adquiridas pela Accenture em março de 2020 e junho de 2019, respectivamente.
Foram diversas aquisições este ano, incluindo a divisão de Cyber Security Services da Symantec e da Revolutionary Security – reforçando o compromisso de longa data da Accenture em expandir os serviços de cibersegurança para seus clientes.
“A pandemia de COVID-19 mudou radicalmente as nossas vidas e a forma como trabalhamos. Da mesma forma, os inimigos cibernéticos mudaram suas táticas e se aproveitam cada vez mais das nossas novas vulnerabilidades”, explica Josh Ray, líder global da prática de ciberdefesa da Accenture Security.
“O estudo deixa claro que as organizações não devem subestimar a ousadia dos cibercriminosos, já que as oportunidades e recompensas advindos dessas campanhas são cada vez maiores. É importante que as empresas se esforcem para acionar os procedimentos corretos e usem a inteligência sobre ameaças cibernéticas para compreender e eliminar as ameaças mais complexas.”
Inimigos sofisticados mascaram identidades com ferramentas prontas para uso.
Ao longo de 2020, os analistas de CTI da Accenture observaram grupos criminosos suspeitos, tanto independentes quanto patrocinados por governos, usando uma combinação de ferramentas prontas para uso – incluindo ferramentas de “living on the land”, infraestrutura de hospedagem compartilhada e código de exploração desenvolvido publicamente – além de ferramentas para testes de penetração de código aberto em escala inédita para a realização de ataques cibernéticos e ocultação de rastro.
Um exemplo é o rastreamento de padrões e atividades de um grupo de hackers sediado no Irã chamado SOURFACE (também conhecido por Chafer e Remix Kitten). Ativo desde 2014, o grupo é conhecido por seus ataques cibernéticos nos setores de óleo e gás, comunicações, transportes e vários outros em países como EUA, Israel, Europa, Arábia Saudita e Austrália.
Os analistas de CTI da Accenture observaram o SOURFACE usando funções legítimas do Windows e ferramentas de fácil acesso como Mimikatz para despejo de credenciais. Trata-se de uma técnica usada para roubar credenciais de autenticação do usuário, como nomes de usuário e senhas, permitindo que invasores escalem privilégios ou se movam pela rede a fim de comprometer outros sistemas e contas enquanto se disfarçam de usuários válidos.
De acordo com o estudo, é altamente provável que atores sofisticados, incluindo grupos criminosos organizados e patrocinados por governos, continuarão a usar ferramentas de teste de penetração e de prateleira no futuro próximo, já que são fáceis de usar, eficazes e de baixo custo.
Novas táticas sofisticadas focam continuidade de negócios
O relatório observa como um grupo conhecido realizou ataques de grande proporção a sistemas de suporte ao Microsoft Exchange e Outlook Web Access e, em seguida, usou esses sistemas comprometidos como base dentro do ambiente da vítima para ocultar o tráfego, retransmitir comandos, comprometer e-mails, roubar dados e coletar credenciais para fins de espionagem.
O grupo, que foi chamado de BELUGASTURGEON (também conhecido como Turla ou Snake) pela Accenture, opera a partir da Rússia e está ativo há mais de 10 anos, além de estar associado a numerosos ataques cibernéticos a agências governamentais, empresas de pesquisas em política externa e think tanks do mundo todo.
Ransomware alimenta novo modelo de negócio lucrativo e escalável afirma Accenture
Em 2019, o ransomware tornou-se rapidamente um modelo de negócios extremamente lucrativo, com cibercriminosos levando a extorsão online a um novo nível, ameaçando liberar publicamente dados roubados ou vendê-los e expor as vítimas em sites dedicados a isso.
Os criminosos por trás das correntes de ransomware Maze, Sodinokibi (também chamado de REvil) e DoppelPaymer são os pioneiros dessa tática que ganha cada vez mais adeptos por entregar ganhos mais altos, resultando em uma onda de copycats e novos atores de ransomware.
Além disso, no início de 2020 os especialistas viram a chegada do terrível ransomware LockBit. Além de copiar a tática de extorsão, a organização chamou a atenção graças ao seu recurso de auto-propagação que rapidamente infecta outros computadores em uma rede corporativa. As motivações por trás do LockBit também parecem ser financeiras.
Os analistas de CTI da Accenture rastrearam os cibercriminosos por trás disso nos fóruns da Dark Web, onde costumam anunciar atualizações regulares e melhorias para o ransomware, além de recrutar ativamente novos membros prometendo uma parte do dinheiro do resgate.
O sucesso desses métodos de extorsão de hack-and-leak, especialmente contra organizações maiores, indica um possível aumento até o final de 2020, além de tendências de hacking em 2021. Na verdade, os analistas de CTI da Accenture observaram campanhas de recrutamento em um fórum popular da Dark Web dos atores de ameaças por trás do Sodinokibi.
FONTE: CRYPTO ID