0
0
Ivanti, Cyber Security Works e Cyware anunciaram um relatório que identificou 32 novas famílias de ransomware em 2021, elevando o total para 157 e representando um aumento de 26% em relação ao ano anterior.
O relatório também descobriu que esses grupos de ransomware continuam a atingir vulnerabilidades não reparadas e armar vulnerabilidades de zero-day em tempo recorde para instigar ataques incapacitantes. Ao mesmo tempo, eles estão ampliando suas esferas de ataque e encontrando novas maneiras de comprometer as redes organizacionais e, sem medo, desencadear ataques de alto impacto.
Principais observações e tendências
Vulnerabilidades não reparadas continuam sendo os vetores de ataque mais proeminentes explorados por grupos de ransomware. A análise descobriu 65 novas vulnerabilidades ligadas ao ransomware no ano passado, representando um crescimento de 29% em relação ao ano anterior e elevando o número total de vulnerabilidades associadas ao ransomware para 288. Alarmantemente, 37% dessas vulnerabilidades recém-adicionadas eram ativamente tendências na dark web e exploradas repetidamente.
Paralelamente, 56% das 223 vulnerabilidades mais antigas identificadas antes de 2021 continuaram sendo ativamente exploradas por grupos de ransomware. Isso prova que as organizações precisam priorizar e corrigir as vulnerabilidades armadas que os grupos de ransomware estão mirando – se são vulnerabilidades recém-identificadas ou vulnerabilidades mais antigas.
Os grupos de ransomware continuam a encontrar e aproveitar as vulnerabilidades de zero-day, mesmo antes dos CVEs serem adicionados ao Banco de Dados de Vulnerabilidades Nacionais e os patches forem liberados. O QNAP (CVE-2021-28799), o Sonic Wall (CVE-2021-20016), o Kaseya (CVE-2021-30116) e, mais recentemente, as vulnerabilidades apache Log4j (CVE-2021-44228) foram exploradas antes mesmo de chegarem ao Banco Nacional de Vulnerabilidades (NVD).
Essa tendência perigosa destaca a necessidade de agilidade dos fornecedores na divulgação de vulnerabilidades e na liberação de patches com base na prioridade. Ele também destaca a necessidade de as organizações olharem além do NVD e ficarem de olho em tendências de vulnerabilidade, instâncias de exploração, avisos de fornecedores e alertas de agências de segurança, priorizando as vulnerabilidades para corrigir.
Grupos de ransomware estão cada vez mais visando redes da cadeia de suprimentos para infligir grandes danos e causar caos generalizado. Um único compromisso na cadeia de suprimentos pode abrir vários caminhos para atores de ameaças sequestrarem distribuições completas do sistema em centenas de redes de vítimas.
No ano passado, os atores de ameaças comprometeram as redes da cadeia de suprimentos por meio de aplicativos de terceiros, produtos específicos para fornecedores e bibliotecas de código aberto. Por exemplo, o grupo REvil foi atrás do CVE-2021-30116 no serviço de gerenciamento remoto Kaseya VSA, lançando um pacote de atualização malicioso que comprometeu todos os clientes usando versões no local e remotas da plataforma VSA.
Grupos de ransomware estão cada vez mais compartilhando seus serviços com outros, assim como ofertas legítimas do SaaS. Ransomware-as-a-service é um modelo de negócios no qual os desenvolvedores de ransomware oferecem seus serviços, variantes, kits ou código para outros atores mal-intencionados em troca de pagamento. As soluções de exploração como serviço permitem que os atores de ameaças aluguem explorações de zero-day de desenvolvedores.
Além disso, o conta-gotas como um serviço permite que os atores de ameaças novatos distribuam malware através de programas que, quando executados, podem executar uma carga maliciosa no computador da vítima. E o trojan-as-a-service, também chamado de malware como serviço, permite que qualquer pessoa com uma conexão à internet obtenha e implante malware personalizado na nuvem, sem instalação.
157 famílias de ransomware explorando 288 vulnerabilidades
With 157 ransomware families exploiting 288 vulnerabilities, ransomware groups are poised to wage rampant attacks in the coming years. And according to Coveware, organizations pay an average of $220,298 and suffer 23 days of downtime following a ransomware attack. This calls for an increased emphasis on cyber hygiene. Looking ahead, automating cyber hygiene will become increasingly important, especially as environments continue to get more complicated.
Srinivas Mukkamala, SVP de Produtos de Segurança da Ivanti, disse: “Os grupos de ransomware estão se tornando mais sofisticados e seus ataques mais impactantes. Esses atores de ameaças estão cada vez mais aproveitando kits automatizados de ferramentas para explorar vulnerabilidades e penetrar mais fundo em redes comprometidas. Eles também estão expandindo seus alvos e realizando mais ataques a setores críticos, perturbando o cotidiano e causando danos sem precedentes. As organizações precisam ser mais vigilantes e corrigir vulnerabilidades armadas sem atrasos. Isso requer aproveitar uma combinação de priorização de vulnerabilidade baseada em riscos e inteligência de patch automatizada para identificar e priorizar fraquezas de vulnerabilidade e, em seguida, acelerar a remediação.”
Anuj Goel, CEO da Cyware, disse: “A mudança substantiva que observamos em todo o cenário de ransomware é que os atacantes estão procurando penetrar em processos como a implantação de patches, tanto quanto procuram lacunas na proteção para penetrar sistemas. A descoberta de vulnerabilidades deve ser recebida com uma ação que trata os dados de vulnerabilidade como inteligência para conduzir decisões de resposta rápida. À medida que as gangues de ransomware operacionalizam suas ferramentas, métodos e listas de alvos, é essencial que as equipes da SecOps automatizem processos para auto-curar ativos e sistemas vulneráveis para mitigar o risco através da operacionalização da inteligência em tempo real.”
Aaron Sandeen, CEO da Cyber Security Works, disse: “O Ransomware é devastador para clientes e funcionários em todos os setores! Em 2022, continuaremos a ver um aumento de novas vulnerabilidades, tipos de exploração, grupos APT, famílias de ransomware, categorias CWE e quão velhas vulnerabilidades são aproveitadas para explorar organizações. Os líderes precisam de ajuda inovadora e preditiva para priorizar e remediar ameaças de ransomware.”
FONTE: HELPNET SECURITY