0
1
Durante o Take Command Summit da Rapid7, foi lançado o Relatório de Inteligência de Ataques de 2024, que reúne a expertise de nossos pesquisadores, equipes de detecção e resposta, e equipes de inteligência de ameaças. O resultado é a visão mais clara até agora da superfície de ataque em expansão e das ameaças que os profissionais de segurança enfrentam diariamente.
Desde o final de 2020, observamos um aumento significativo na exploração de vulnerabilidades zero-day, ataques de ransomware e incidentes de comprometimento em massa que afetam muitas organizações em todo o mundo. Vimos mudanças no comportamento dos adversários, com grupos de ransomware e atores de ameaças patrocinados por estados usando novos mecanismos de persistência e exploits zero-day com grande eficácia.
O Relatório de Inteligência de Ataques de 2024 é uma análise de 14 meses de dados sobre vulnerabilidades de destaque e padrões de ataque. A partir dele, identificamos tendências que são úteis para todos os profissionais de segurança compreenderem.
Algumas descobertas importantes incluem:
Um nível consistentemente alto de exploração de vulnerabilidades zero-day nos últimos três anos. Desde 2020, nossa equipe de pesquisa de vulnerabilidades tem monitorado tanto a escala quanto a velocidade de exploração. Em dois dos últimos três anos, mais eventos de comprometimento em massa surgiram de exploits zero-day do que de exploits n-day. 53% dos CVEs amplamente explorados em 2023 e no início de 2024 começaram como ataques zero-day.
A exploração de dispositivos na borda da rede aumentou. Comprometimentos em larga escala decorrentes da exploração de dispositivos na borda da rede quase dobraram em 2023. Descobrimos que 36% das vulnerabilidades amplamente exploradas que rastreamos ocorreram em tecnologias de borda de rede. Destas, 60% eram exploits zero-day. Essas tecnologias representam um ponto fraco em nossas defesas coletivas.
O ransomware ainda é um grande negócio. Rastreamos mais de 5.600 ataques de ransomware entre janeiro de 2023 e fevereiro de 2024. E esses são os ataques que conhecemos, já que muitos podem não ser relatados por várias razões. Os ataques que conseguimos rastrear indicaram tendências no motivo e comportamento dos atacantes. Por exemplo, vimos um aumento no que chamamos de ataques “smash-and-grab”, particularmente aqueles envolvendo soluções de transferência de arquivos. Um ataque smash-and-grab ocorre quando os adversários obtêm acesso a dados sensíveis e realizam a exfiltração o mais rápido possível. Embora a maioria dos incidentes de ransomware observados pela Rapid7 ainda sejam ataques “tradicionais”, onde os dados são criptografados, a extorsão smash-and-grab está se tornando mais comum.
Os atacantes estão preferindo explorar classes de vulnerabilidade simples. Embora os atacantes ainda visem classes de vulnerabilidade mais difíceis de explorar, como corrupção de memória, a maioria dos CVEs amplamente explorados que rastreamos nos últimos anos surgiu de causas raiz mais simples. Por exemplo, 75% dos CVEs de ameaças generalizadas analisados pela Rapid7 desde 2020 têm problemas de controle de acesso inadequado, como APIs acessíveis remotamente e falhas de bypass de autenticação, e falhas de injeção (como injeção de comandos do sistema operacional) como suas causas raízes.
Estas são apenas algumas das principais descobertas do relatório. Leia o Relatório de Inteligência de Ataques de 2024 aqui.
Esse artigo tem informações retiradas do blog da Rapid7. A Neotel é parceira da Rapid7, para mais informações sobre as soluções e serviços da empresa, entre em contato com a gente.