0
0
Estamos agora na metade de 2022, e já vimos uma série de ataques cibernéticos, familiares e desconhecidos, interrompendo as organizações. No entanto, também vimos histórias edificantes de esforços bem-sucedidos de detecção de ameaças.
Neste artigo, analisaremos cinco ameaças novas, sofisticadas ou criativas que usaram técnicas como “viver da terra” para evitar a detecção por medidas defensivas tradicionais. Todas essas ameaças foram descobertas pela tecnologia de inteligência artificial (IA), que pode detectar desvios sutis no comportamento do dispositivo e do usuário e impor autonomamente o “normal”, interrompendo uma ameaça em seus rastros.
1. Laboratório Líder Interrompe Ameaça de Insider da Dark Web com IA
Os ataques cibernéticos contra o setor de saúde atingiram recordes no ano passado e, para essas organizações, as ameaças cibernéticas podem ter graves consequências no mundo real. Um dos clientes de saúde da Darktrace é uma empresa especializada na pesquisa, desenvolvimento e fabricação de testes inovadores de diagnóstico in vitro para doenças, condições e infecções.
Em março, esta empresa foi alvo de uma ameaça maliciosa. Um funcionário queria explorar seu acesso dentro da organização para vender propriedade intelectual proprietária, talvez até mesmo suprimentos médicos, na Dark Web. O funcionário foi detectado usando o Tor em um dispositivo da empresa para se conectar a um fórum do mercado farmacêutico da Dark Web.
Insiders maliciosos ou comprometidos podem ser difíceis de identificar porque seu acesso privilegiado e conhecimento do funcionamento da empresa permitem que eles evajam a detecção por ferramentas de segurança tradicionais. Para proteger a propriedade intelectual contra ameaças internas, as organizações precisam aumentar as equipes de segurança com tecnologia alimentada por IA para interromper atividades maliciosas em tempo real.
Nesse caso, dado que nenhum outro dispositivo da empresa havia visitado a rede Tor no passado, a IA da Darktrace sinalizou a atividade para a equipe de segurança, que pôde investigar o funcionário e descobrir suas intenções maliciosas.
2. Babuk Double-Extortion Ransomware Neutralizado em um Fabricante de Tecnologia
Babuk é uma cepa de ransomware de dupla extorsão que ataca com sucesso organizações de alto valor em todo o mundo desde 2021. Em fevereiro de 2022, no entanto, teve como alvo um fabricante multinacional de tecnologia que havia implantado a segurança cibernética de IA. A empresa alvo facilita a adoção de dispositivos médicos inteligentes, bem como veículos elétricos e autônomos. Isso significa que o tempo de atividade é importante e o ransomware representa um risco significativo.
O primeiro sinal de uma ameaça veio nas primeiras horas da manhã, quando a IA detectou um dispositivo da empresa realizando varredura de rede e fazendo conexões incomuns com outros dispositivos internos. Com base em sua compreensão do “padrão de vida” usual do dispositivo, a IA identificou esse comportamento fora do comum como malicioso e calculou uma resposta.
A IA foi capaz de impedir esse ataque sem interferir nas operações comerciais normais no escritório da empresa ou no chão de fabricação. Bloqueou apenas as conexões maliciosas, permitindo que o resto das operações do dispositivo comprometido continuassem.
Uma vez que o ataque foi interrompido, uma análise pós-compromisso realizada pela IA revelou que o dispositivo comprometido estava de fato tentando distribuir arquivos com extensões “babyk”. Esses ataques geralmente se destacam fora de horas, portanto, os defensores da infraestrutura crítica devem considerar o uso de inteligência artificial para permitir que suas organizações se defendam contra ameaças avançadas.
3. Ataque de Spoofing de RH tem como alvo funcionários da empresa de private equity
E-mails de phishing e falsificação continuam sendo o ponto de entrada inicial favorito para ciber-atacantes. No início deste ano, uma empresa de private equity que procura reforçar seus esforços de segurança de e-mail testou uma solução de segurança de e-mail de IA e detectou um ataque de falsificação direcionado quase imediatamente.
Os atacantes adaptaram seu e-mail para imitar as comunicações internas de RH da empresa, intititindo-o como “Comissão do 3o trimestre de 2021 e Agenda” e projetando-o para se parecer com um documento do SharePoint da Microsoft. Para um funcionário da empresa, este e-mail não teria olhado para tudo fora do lugar em sua caixa de entrada.
Uma investigação mais aprofundada mostrou que o e-mail faz parte de uma tendência mais ampla de campanhas de phishing direcionadas que usam a marca falsa da Microsoft para enganar os funcionários. As motivações exatas deste ataque são desconhecidas porque foi interrompido em seus estágios iniciais, mas ataques como ele são frequentemente lançados com o objetivo de causar interrupção operacional ou realizar roubo de PI e financeiro.
4. Ataque de ransomware contra um provedor de serviços financeiros interrompido
Em março de 2022, uma empresa de serviços financeiros sul-africana decidiu experimentar a tecnologia da Darktrace e imediatamente descobriu um ataque de ransomware em andamento tentando criptografar seus dados mais valiosos.
O primeiro sinal de comprometimento foi um servidor de e-mail da empresa fazendo conexões HTTP incomuns com um ponto final externo e se comunicando com um servidor malicioso pela Internet. Sua compreensão do negócio e o comportamento normal desse servidor de e-mail em particular permitiram que a IA identificasse a atividade ameaçadora.
O servidor comprometido foi então visto tentando realizar reconhecimento de rede e movimento lateral para aumentar sua presença dentro da organização. Uma investigação mais aprofundada revelou que os atacantes obtiveram as credenciais de 11 funcionários, incluindo vários executivos de nível C. Com o ataque se espalhando rapidamente, mais e mais dispositivos da empresa começaram a tentar se comunicar com o servidor externo malicioso.
A IA interrompeu rapidamente novas tentativas de comunicação com o servidor malicioso, mas permitiu que as operações comerciais normais continuassem. Com o ataque contido com segurança, a Darktrace ajudou a equipe de segurança da empresa a conduzir uma investigação completa e garantir que o ataque tivesse sido completamente neutralizado.
5. IA interrompe a exploração do Log4j em um provedor global de serviços financeiros
A vulnerabilidade Log4Shell que se tornou pública no final de 2021 é uma das explorações mais graves e difundidas já registradas. Alguns pensam que afetou centenas de milhões de dispositivos e, como um dia zero, escapou de muitas ferramentas de segurança tradicionais.
Felizmente, a segurança da IA conseguiu mitigar os efeitos do Log4Shell para muitas das organizações que ele protege. Um deles, um provedor global de serviços financeiros com ativos de mais de US$ 5 bilhões, foi direcionado em março de 2022.
Os atacantes usaram uma vulnerabilidade Log4j para obter acesso a um dos servidores de infraestrutura de desktop virtual (VDI) da empresa, a partir do qual tentaram verificar a rede circundante e se espalharam por toda a empresa. O servidor começou a baixar um script shell de um endpoint externo suspeito, solicitando um alerta imediato das medidas de segurança orientadas por IA da empresa.
Convencida da gravidade da ameaça pelo alerta, a equipe de segurança da empresa implantou prontamente a tecnologia de IA para tomar medidas precisas contra a ameaça e manter as atividades comerciais regulares no servidor VDI.
A ação rápida desta tecnologia de resposta orientada por IA bloqueou as conexões maliciosas e impediu que a ameaça progredisse ainda mais, muito provavelmente salvando a empresa de um ataque de ransomware.
FONTE: DARK READING