0
0
Em 2021, o cibercrime se tornou mais sofisticado, generalizado e implacável. Os criminosos têm como alvo infraestrutura crítica – cuidados de saúde, 1 tecnologia da informação, 2 serviços financeiros, 3 setores de energia4 – com ataques de destaque que prejudicaram as empresas e prejudicaram os consumidores. Mas há tendências positivas—as vítimas estão se apresentando, humanizando o custo dos ataques cibernéticos e provocando um maior engajamento da aplicação da lei. Os governos também estão aprovando novas leis e alocando mais recursos à medida que reconhecem o cibercrime como uma ameaça à segurança nacional.
No início deste mês, a Microsoft publicou o Relatório de Defesa Digital da Microsoft (MDDR) de 2021. Com base em mais de 24 trilhões de sinais de segurança diários na nuvem, endpoints e na borda inteligente da Microsoft, o MDDR 2021 expande o relatório inaugural do ano passado e contém informações de mais de 8.500 especialistas em segurança em 77 países, incluindo insights sobre o estado em evolução do ransomware, e-mail malicioso, malware e muito mais.
Ransomware vai para o varejo
Ransomware oferece um modelo de negócios de baixo investimento e alto lucro que é irresistível para criminosos. O que começou com ataques de PC único agora inclui ataques incapacitantes em toda a rede usando vários métodos de extorsão para direcionar seus dados e reputação, todos habilitados pela inteligência humana. Através dessa combinação de inteligência em tempo real e táticas criminosas mais amplas, os operadores de ransomware levaram seus lucros a níveis sem precedentes.
Este ransomware operado por humanos, também conhecido como “big game ransomware”, envolve criminosos caçando grandes alvos que fornecerão um dia de pagamento substancial por meio de sindicatos e afiliados. Ransomware está se tornando um sistema modular como qualquer outra grande empresa, incluindo ransomware como serviço (RaaS). Com o RaaS, não há um único indivíduo por trás de um ataque de ransomware; em vez disso, existem vários grupos. Por exemplo, um ator de ameaça pode desenvolver e implantar malware que dê a um invasor acesso a uma determinada categoria de vítimas; enquanto que, um ator diferente pode simplesmente implantar malware. É efetivamente um sindicato do crime onde cada membro é pago por uma experiência específica.
Uma vez que um ator criminoso compromete uma rede, ele pode roubar informações confidenciais, documentos financeiros e apólices de seguro. Depois de analisar essa inteligência, eles exigirão um resgate “apropriado” não apenas para desbloquear os sistemas de suas vítimas, mas também para impedir a divulgação pública de dados exfiltrados. Isso é conhecido como o modelo de dupla extorsão: uma vítima é extorquida por resgate de dados roubados e propriedade intelectual (PI) e, novamente, para impedir que o invasor os publique.
Normalmente, os atores de ameaças exigirão pagamento por meio de carteiras de criptomoedas. A tecnologia blockchain subjacente permite que os proprietários de carteiras criptográficas permaneçam pseudônimos. Mas o ator criminoso precisa encontrar uma maneira de sacar, que é onde intermediários do ecossistema de criptomoedas intervêm para facilitar transações e pagamentos relacionados ao resgate. Tanto o setor privado quanto as agências governamentais – por meio de litígios civis, processos judiciais, aplicação regulatória e colaboração internacional – podem tomar medidas coordenadas contra intermediários de ransomware para interromper o processo de pagamento. Dados da Equipe de Detecção e Resposta (DART) da Microsoft mostram que os três setores mais visados pelo ransomware eram consumidor, financeiro e manufatura.
Figura 1: Compromissos de ransomware DART por setor (julho de 2020 a junho de 2021).
A melhor maneira de estar preparado contra ransomware é dificultar o acesso dos invasores aos sistemas, facilitando a recuperação das vítimas, sem pagar um resgate. Incentivar as organizações a se prepararem para o pior é, na verdade, uma estratégia proativa, projetada para minimizar os incentivos monetários para atacantes. Para saber mais sobre como se defender contra ransomware, leia o MDDR 2021. A Microsoft também apoia as orientações apresentadas no Ransomware Playbook pelo Cyber Readiness Institute.
Figura 2: Três passos para limitar os danos causados pelo ransomware.
E-mail malicioso: Isca e interruptor
Os relatos de ataques de phishing dobraram em 2020, com phishing de credenciais usado em muitos dos ataques mais prejudiciais. A Unidade de Crimes Digitais da Microsoft (DCU) investigou as redes on-line do crime organizado envolvidas no compromisso de e-mail comercial (BEC), encontrando uma ampla diversificação de como as credenciais roubadas são obtidas, verificadas e usadas. Os atores de ameaças estão aumentando seu investimento em automação e ferramentas de compra, para que possam aumentar o valor de suas atividades criminosas.
No geral, phishing é o tipo mais comum de e-mail malicioso observado em nossos sinais de ameaça. Todos os setores recebem e-mails de phishing, com algumas verticais mais segmentadas, dependendo dos objetivos do invasor, disponibilidade de endereços de e-mail vazados ou eventos atuais em setores e setores específicos. O número de e-mails de phishing que observamos no fluxo global de e-mails do Microsoft Exchange aumentou de junho de 2020 a junho de 2021, com um aumento pronunciado em novembro, potencialmente aproveitando o tráfego temático de férias.
“Em 2020, a indústria viu um aumento de campanhas de phishing que se manteve estável ao longo de 2021. Internamente na Microsoft, vimos um aumento no número geral de e-mails de phishing, uma tendência de queda nos e-mails contendo malware e um aumento no phishing de voz (ou vishing).”—2021 Microsoft Digital Defense Report
Figura 3: Técnicas de e-mail malicioso.
Sites de phishing frequentemente copiam páginas de login legítimas e conhecidas, como a MicrosoftEscritório 365, para enganar os usuários a inserir suas credenciais. Em um exemplo recente, os atacantes combinaram links de redirecionador abertos com isca que se faz passar por ferramentas e serviços de produtividade bem conhecidos. Os usuários que clicaram no link foram levados a uma série de redirecionamentos – incluindo uma página de verificação CAPTCHA que adiciona um senso de legitimidade – antes de acessar uma página de login falsa e, finalmente, comprometer a credencial. Essas identidades roubadas podem então ser armadas em ataques BEC ou através de sites de phishing. Mesmo após um ataque bem-sucedido, os atores de ameaças podem revender contas se as credenciais permanecerem comprometidas.
O Microsoft Defender SmartScreen detectou mais de um milhão de domínios exclusivos usados em ataques de phishing baseados na web no último ano, dos quais os domínios comprometidos representavam pouco mais de cinco por cento. Esses domínios normalmente hospedam ataques de phishing em sites legítimos sem interromper nenhum tráfego legítimo, para que seu ataque permaneça oculto o maior tempo possível.
Domínios criados especificamente para ataques tendem a estar ativos por períodos mais curtos. No último ano, a Microsoft viu ataques chegarem em rajadas curtas que começam e terminam em apenas uma a duas horas.
Como esses minutos importam, a Microsoft está novamente copatrocinando o Terranova Gone Phishing TournamentTM anual, que usa simulações do mundo real para estabelecer estatísticas precisas de cliques. Usando um modelo de e-mail de phishing real incluído no Microsoft Defender paraEscritório 365, o Attack Simulator fornece simulações sensíveis ao contexto e treinamento hiperdirecionado para educar os funcionários e medir mudanças de comportamento.
Malware: Oportunidade bate
Assim como o phishing cresceu em escala e complexidade no último ano, o malware também continuou a evoluir.Microsoft 365A Defender Threat Intelligence observou inovações recentes que podem levar a um maior sucesso entre os atacantes. Mesmo com uma variedade de objetivos de ataque – resgate, exfiltração de dados, roubo de credenciais, espionagem – muitos tipos de malware dependem de estratégias testadas pelo tempo para se estabelecer em uma rede.
“Em todos os meses, de agosto de 2020 a janeiro de 2021, registramos uma média de 140.000 ameaças de shell da web em servidores, o que foi quase o dobro da média mensal de 77.000. Ao longo de 2021, vimos um aumento ainda maior, com uma média de 180.000 encontros por mês.”—2021 Microsoft Digital Defense Report
Simples e eficaz, o uso do shell da web continua a subir entre grupos de estados-nação e organizações criminosas, permitindo que atacantes executem comandos e roubem dados de um servidor web, ou usem o servidor como plataforma de lançamento para novos ataques. O PowerShell, usando sinalizadores suspeitos ou valores codificados, foi o comportamento mais comum que a Microsoft observou com malware este ano.
Também é popular o malware que tenta renomear ou injetar cargas úteis para imitar processos do sistema e coletar dados de caches do navegador. Outras formas de malware em jogo foram: uso de strings de reconhecimento específicas; processos adicionados a pastas de inicialização; Interface de Varredura Antimalware do Windows (AMSI) e alterações no registro; e executáveis retirados da MicrosoftEscritório 365arquivos acompanhados de outros alertas. Também observamos táticas de malware que são mais difíceis de mitigar, como:
- malware sem arquivo e comportamento evasivo—estes incluem inúmeras técnicas de malware sem arquivo empregadas por botnets, downloaders de commodities e campanhas avançadas de malware, todas projetadas para dificultar a remoção e detecção.
- Abuso legítimo de serviços em comunicações de rede – Google Drive, Microsoft OneDrive, Adobe Spark, Dropbox e outros sites ainda são populares para entrega de malware, enquanto sites de “despejo de conteúdo”, como Pastebin.com, Archive.org e Stikked.ch, são cada vez mais populares para download de componentes em malware de várias partes e sem arquivos.
Saiba mais
Toda pessoa e organização tem o direito de esperar que a tecnologia que usa seja segura e entregue por uma empresa em que possam confiar. Como parte da abordagem diferenciada da Microsoft à segurança cibernética, a DCU representa uma equipe internacional de especialistas técnicos, legais e de negócios que lutam contra o cibercrime para proteger as vítimas desde 2008. Usamos nossa experiência e visão única das redes criminosas on-line para agir. Compartilhamos insights internos que se traduzem em recursos de produtos de segurança, descobrimos evidências de referências criminais à aplicação da lei em todo o mundo e tomamos medidas legais para interromper atividades maliciosas.
Para uma visão abrangente do estado do cibercrime hoje, incluindo o surgimento de domínios maliciosos e aprendizado de máquina adversário, baixe o Relatório de Defesa Digital da Microsoft 2021. Procure as próximas postagens do blog que forneçam informações detalhadas para cada semana temática do Mês de Conscientização sobre Cibersegurança 2021. Visite nossa página do Mês de Conscientização sobre Cibersegurança para obter mais recursos e informações sobre como proteger sua organização durante todo o ano. Faça a sua parte. #BeCyberSmart
Para saber mais sobre as soluções Microsoft Security, visite nosso site. Marque o blog Security para acompanhar nossa cobertura especializada em questões de segurança. Além disso, siga-nos em @MSFTSecurity para as últimas notícias e atualizações sobre segurança cibernética.
1Cybercriminals Aumentam Ataques à Saúde, Novamente, James Liu, Security Boulevard. 03 de junho de 2021.
2Microsoft adverte sobre ataques contínuos pelo Nobelium Hacking Group, Nathaniel Mott, PCMag. 26 de junho de 2021.
3Ataques em Aplicativos Financeiros Saltam 38% no Primeiro Semestre de 2021, Natasha Chilingerian, Credit Union Times. 23 de agosto de 2021.
4Uma senha permitiu que hackers interrompessem o Colonial Pipeline, diz CEO aos senadores, Stephanie Kelly, Jessica Resnick-ault, Reuters. 08 de junho de 2021.
FONTE: MICROSOFT