0
0
As condições econômicas em declínio podem tornar os insiders mais suscetíveis a ofertas de recrutamento de agentes de ameaças que procuram aliados para ajudá-los a realizar vários ataques.
As equipes de segurança corporativa precisam estar cientes do risco elevado e fortalecer as medidas de proteção, detecção e resposta a ameaças internas, recomendaram pesquisadores da equipe de inteligência de ameaças da Unidade 42 da Palo Alto Network em um relatório esta semana.
O relatório do fornecedor de segurança destacou várias outras conclusões importantes para as equipes de operações de segurança, incluindo o fato de que os ataques de ransomware e e-mail corporativo continuam a dominar os casos de resposta a incidentes e explorações de vulnerabilidades – representando quase um terço de todas as violações.
Insiders vulneráveis
Os pesquisadores da Unidade 42 analisaram dados de uma amostragem de mais de 600 compromissos de resposta a incidentes entre abril de 2021 e maio de 2022 e determinaram que tempos econômicos difíceis podem atrair mais atores para o crime cibernético. Isso pode incluir pessoas com habilidades técnicas que desejam ganhar dinheiro rápido, bem como pessoas com problemas financeiros com acesso legítimo a dados corporativos valiosos e ativos de TI. A prevalência de modelos de trabalho remotos e híbridos criou um ambiente em que é mais fácil para os trabalhadores roubar propriedade intelectual ou realizar outras atividades maliciosas, descobriram os pesquisadores.
O relatório da Palo Alto Networks aponta como alguns agentes de ameaças – como o grupo altamente destrutivo LAPSUS$ – tentaram recrutar insiders oferecendo dinheiro para credenciais de acesso ou ajudando-os a realizar seu ataque de outras maneiras. “Quando algumas pessoas estão lutando para sobreviver, [tais] ofertas podem ser mais tentadoras para alguns”, disse o relatório.
Essa tendência já foi sinalizada antes: um relatório do Flashpoint em maio observou a crescente popularidade dos esforços de recrutamento interno entre os agentes de ameaças. O Flashpoint contou até 3.988 discussões de bate-papo exclusivas relacionadas a insiders – principalmente no Telegram – entre 1º de janeiro e 30 de novembro de 2021, com um pico particularmente acentuado ocorrendo após agosto. Muitos dos que tentavam recrutar eram operadores de ransomware ou outros grupos de extorsão. As táticas comumente empregadas incluíam o uso de um insider conhecido ou a veiculação de anúncios de recrutamento público e solicitação direta.
Outra pesquisa que a Pulse e a Hitachi ID realizaram com 100 profissionais de TI e segurança mostrou que 65% disseram que os agentes de ameaças abordaram eles ou seus funcionários para obter assistência com um ataque de ransomware no ano passado.
Phishing e vulnerabilidades de software continuam sendo os principais vetores de acesso inicial
A pesquisa da Unidade 42 também confirmou o que as equipes de segurança que lutam na linha de frente para manter suas organizações seguras já sabem: os ataques de ransomware e BEC continuam a dominar a necessidade de resposta a incidentes. Surpreendentes 70% das intrusões estavam ligadas a uma dessas duas causas. Nos ataques BEC, os dados mostraram que os agentes de ameaças normalmente passavam entre 7 e 48 dias no ambiente violado antes que a vítima contivesse a ameaça, com um tempo médio de permanência de 38 dias. O tempo médio de permanência para ataques de ransomware foi um pouco menor, em 28 dias, provavelmente devido ao ruído desses ataques.
O phishing continua sendo o principal vetor de acesso inicial até agora em 2022 e foi a causa suspeita em 37% dos casos de resposta a incidentes que a Unidade 42 concluiu entre abril de 2021 e maio de 2022.
“Infelizmente, a maioria das organizações aprende sobre um desses ataques da maneira mais difícil – ao receber uma demanda de extorsão ou depois que uma fraude eletrônica é cometida”, diz Dan O’Day, diretor de consultoria da Unidade 42 da Palo Alto Networks. “Cada vez mais, os agentes de ameaças obtêm acesso rapidamente, identificam e exfiltram dados confidenciais e implantam táticas de extorsão – às vezes em questão de horas ou apenas alguns dias”.
Notavelmente, 31% – ou quase uma em cada três invasões – resultaram de invasores ganhando uma posição inicial por meio de uma vulnerabilidade de software. Cerca de 87% das vulnerabilidades que os pesquisadores da Unidade 42 conseguiram identificar positivamente se enquadram em uma das seis categorias: falhas de ProxyLogon e ProxyShell no Exchange Server; a falha do Apache Log4j ; e vulnerabilidades em tecnologias da Zoho, SonicWall e Fortinet. Em 55% dos incidentes em que a Unidade 42 conseguiu identificar positivamente a vulnerabilidade que um invasor usou para obter acesso inicial, a vulnerabilidade foi ProxyShell e, em 14% dos casos, foi Log4j.
“Como um terço dos ataques visa vulnerabilidades de software, as equipes de segurança devem continuar corrigindo vulnerabilidades com antecedência e com frequência”, diz O’Day. Enquanto alguns agentes de ameaças continuam confiando em vulnerabilidades mais antigas e não corrigidas, outros procuram explorar novas vulnerabilidades cada vez mais rapidamente. “Na verdade, pode praticamente coincidir com a revelação se as vulnerabilidades em si e o acesso que pode ser obtido ao explorá-las forem significativos o suficiente”, diz ele.
Como exemplo, ele aponta para uma assinatura de prevenção de ameaças que a Palo Alto Networks lançou para uma vulnerabilidade de desvio de autenticação na tecnologia F5 Big IP (CVE-2022-1388). “Em apenas 10 horas, a assinatura foi acionada 2.552 vezes devido à verificação de vulnerabilidades e tentativas de exploração ativas”, diz ele. “Cada vez mais, estamos vendo invasores escaneando assim que os detalhes de uma vulnerabilidade crítica são publicados.”
As más práticas de gerenciamento de patches exacerbaram o problema para muitas organizações – contribuíram para 28% das violações às quais a Unidade 42 respondeu. Um exemplo de mau gerenciamento de patches é simplesmente esperar muito tempo para implementar um patch para uma vulnerabilidade conhecida, observa O’Day. “Além disso, cerca de 30% das organizações estavam executando versões de software em fim de vida que foram afetadas por CVEs que conheciam explorações ativas em estado selvagem e foram apresentadas em avisos de segurança cibernética do governo dos EUA”.
FONTE: DARK READING