0
0
A Menlo Security anunciou que identificou um aumento nas ameaças cibernéticas, denominadas Ameaças Adaptativas Altamente Evasivas (HEAT), que contornam as defesas tradicionais de segurança.
Os ataques heat são uma classe de ameaças cibernéticas que visam navegadores da Web como vetor de ataque e empregam técnicas para evitar a detecção por várias camadas nas pilhas de segurança atuais, incluindo firewalls, Gateways Web Seguros, análise de sandbox, reputação de URL e detecção de phishing. Os ataques HEAT são usados para fornecer malware ou para comprometer credenciais, que em muitos casos leva a ataques de ransomware.
Em uma análise de quase 500.000 domínios maliciosos, a equipe de pesquisa descobriu que 69% desses sites usavam táticas HEAT para fornecer malware. Esses ataques permitem que os maus atores ofereçam conteúdo malicioso ao ponto final, adaptando-se ao ambiente alvo. Desde julho de 2021, houve um aumento de 224% nos ataques de CALOR.
“Com a mudança abrupta para o trabalho remoto em 2020, cada organização teve que girar para um trabalho a partir de um modelo em qualquer lugar e acelerar sua migração para aplicativos baseados em nuvem. Um relatório do setor descobriu que 75% do dia de trabalho é gasto em um navegador da Web, que rapidamente se tornou a superfície de ataque principal para atores de ameaças, ransomware e outros ataques. A indústria viu uma explosão no número e na sofisticação desses ataques altamente evasivos e a maioria das empresas não está preparada e não tem recursos para evitá-los”, disse Amir Ben-Efraim, CEO da Menlo Security.
“As ameaças cibernéticas são um problema comum e uma questão de diretoria que deveria estar na agenda de todos. O cenário de ameaças está em constante evolução, o ransomware está mais persistente do que nunca e os ataques heat tornaram as soluções de segurança tradicionais ineficazes.”
Técnicas principais aproveitadas para contornar defesas de segurança de rede legados
Evita a inspeção de conteúdo estático e dinâmico: os ataques HEAT evitam mecanismos de assinatura e análise comportamental para fornecer cargas maliciosas à vítima usando técnicas inovadoras como o Contrabando HTML. Esta técnica é usada por atores de ameaças, incluindo o Nobelium, o grupo de hackers por trás do ataque de ransomware SolarWinds. Em um caso recente, apelidado de ISOMorph, a equipe de pesquisa do Menlo Labs observou a campanha usando o popular aplicativo de mensagens Discord para hospedar cargas maliciosas. Reserachers identificou mais de 27.000 ataques de malware que foram entregues usando o contrabando HTML nos últimos 90 dias.
Evita a análise de links maliciosos: Essas ameaças evitam mecanismos maliciosos de análise de links tradicionalmente implementados no caminho de e-mail onde links podem ser analisados antes de chegar ao usuário.
Evita a categorização offline e a detecção de ameaças: os ataques de CALOR evitam a categorização da Web, fornecendo malware de sites benignos, seja comprometendo-os ou criando pacientemente novos, chamados de sites Good2Bad. A Menlo Labs tem acompanhado uma campanha de ameaça ativa chamada SolarMarker, que emprega envenenamento por SEO. A campanha começou comprometendo um grande conjunto de sites de baixa popularidade que haviam sido categorizados como benignos, infectando esses sites com conteúdo malicioso.
- Os sites good2Bad aumentaram 137% em relação ao ano anterior de 2020 a 2021.
- 44% dos clientes acessaram um site no último ano que cai na classificação Good2Bad.
Evita a inspeção de tráfego HTTP: Em um ataque HEAT, conteúdo malicioso como explorações de navegador, código de mineração de criptomoedas, código de kit de phishing e imagens que se passam por logotipos de marcas conhecidas são gerados pelo JavaScript no navegador por seu mecanismo de renderização, tornando qualquer técnica de detecção inútil. As três principais marcas personificadas em ataques de phishing são a Microsoft, PayPal e Amazon. Um novo site de phishing imitando uma dessas marcas é criado a cada 1,7 minutos.
“Ataques altamente evasivos de ameaças adaptativas (HEAT) evitam as defesas de segurança existentes, entendendo toda a tecnologia integrada à pilha de segurança existente e aos mecanismos de entrega de edifícios para evitar a detecção”, disse John Grady, analista sênior da ESG. “As organizações devem se concentrar em três princípios-chave para limitar sua suscetibilidade a esses tipos de ataques: mudar de uma detecção para uma mentalidade de prevenção, parar ameaças antes de atingir o ponto final e incorporar recursos avançados anti-phishing e isolamento.”
FONTE: HELPNET SECURITY