0
0
O tempo médio de permanência global cai para pouco mais de duas semanas, refletindo o papel essencial que as parcerias e a troca de informações desempenham na construção de um ecossistema de segurança cibernética mais resiliente, de acordo com a Mandiant.
Capacidades modernas de defesa cibernética
O relatório revela o progresso que as organizações em todo o mundo fizeram no fortalecimento das defesas contra adversários cada vez mais sofisticados.
“O M-Trends 2023 deixa claro que, enquanto nossa indústria está melhorando em segurança cibernética, estamos combatendo adversários em constante evolução e cada vez mais sofisticados. Várias tendências que vimos em 2021 continuaram em 2022, como um número crescente de novas famílias de malware, bem como o aumento da espionagem cibernética de atores apoiados pelo Estado-nação”, disse Jurgen Kutscher, vice-presidente de consultoria da Mandiant no Google Cloud.
“Como resultado, as organizações devem permanecer diligentes e continuar a melhorar sua postura de segurança cibernética com recursos modernos de defesa cibernética. A validação contínua da resiliência cibernética contra essas ameaças mais recentes e o teste das capacidades gerais de resposta são igualmente críticos”, acrescentou Kutscher.
O tempo médio global de permanência para ataques cibernéticos atinge o mínimo histórico em 2022
De acordo com o relatório, o tempo médio global de permanência – que é calculado como o número médio de dias que um invasor está presente no ambiente de um alvo antes de ser detectado – continua a cair ano a ano para 16 dias em 2022. Este é o menor tempo médio de permanência global de todos os períodos de relatório do M-Trends, com um tempo médio de permanência de 21 dias em 2021.
Ao comparar como as ameaças foram detectadas, a Mandiant observou um aumento geral no número de organizações que foram alertadas por uma entidade externa de comprometimento histórico ou contínuo. Organizações sediadas nas Américas foram notificadas por uma entidade externa em 55% dos incidentes, em comparação com 40% dos incidentes do ano passado.
Esta é a maior porcentagem de notificações externas que as Américas viram nos últimos seis anos. Da mesma forma, organizações na Europa, Oriente Médio e África (EMEA) foram alertadas de uma intrusão por uma entidade externa em 74% das investigações em 2022, em comparação com 62% em 2021.
Slight drop in ransomware attacks
Mandiant experts noted a decrease in the percentage of their global investigations involving ransomware between 2021 and 2022. In 2022, 18% of investigations involved ransomware compared to 23% in 2021. This represents the smallest percentage of Mandiant investigations related to ransomware since prior to 2020.
“While we don’t have data that suggests there is a single cause for the slight drop in ransomware-related attacks that we observed, there have been multiple shifts in the operating environment that have likely contributed to these lower figures,” said Sandra Joyce, VP, Mandiant Intelligence at Google Cloud.
“These factors include, but are not limited to: ongoing government and law enforcement disruption efforts targeting ransomware services and individuals, which at minimum require actors to retool or develop new partnerships; the conflict in Ukraine; actors needing to adjust their initial access operations to a world where macros may often be disabled by default, as well as organizations potentially getting better at detecting and preventing or recovering from ransomware events at faster rates,” concluded Joyce.
Mandiant identified extensive cyber espionage and information operations leading up to and since Russia’s invasion of Ukraine on February 24, 2022. Most notably, Mandiant saw activity by UNC2589 and APT28 prior to the invasion of Ukraine, and observed more destructive cyber attacks in Ukraine during the first four months of 2022 than in the previous eight years.
New malware families on the rise
Em 2022, os pesquisadores começaram a rastrear 588 novas famílias de malware, revelando como os adversários continuam a expandir seus conjuntos de ferramentas. Das famílias de malware recém-rastreadas, as cinco principais categorias consistiam em backdoors (34%), downloaders (14%), droppers (11%), ransomware (7%) e lançadores (5%). Essas categorias de malware permanecem consistentes ao longo dos anos e os backdoors continuam a representar um pouco mais de um terço das famílias de malware recém-rastreadas.
De acordo com os anos anteriores, a família de malware mais comum identificada pela Mandiant nas investigações foi o BEACON, um backdoor multifuncional. Em 2022, o BEACON foi identificado em 15% de todas as intrusões investigadas pela Mandiant e continua a ser, de longe, o mais visto em investigações em todas as regiões.
Ele tem sido usado por uma ampla variedade de grupos de ameaças rastreados pela Mandiant, incluindo grupos de ameaças apoiados pelo Estado-nação atribuídos à China, Rússia e Irã, bem como grupos de ameaças financeiras e mais de 700 grupos da UNC. Essa onipresença provavelmente se deve à disponibilidade comum do BEACON combinada com a alta personalização e facilidade de uso do malware, de acordo com o relatório.
Os adversários estão se tornando cada vez mais eficazes
“A Mandiant investigou várias intrusões realizadas por novos adversários que estão se tornando cada vez mais experientes e eficazes. Eles aproveitam dados de mercados subterrâneos de crimes cibernéticos, conduzem esquemas de engenharia social convincentes por meio de chamadas de voz e mensagens de texto e até tentam subornar funcionários para obter acesso a redes”, disse Charles Carmakal, CTO da Mandiant Consulting no Google Cloud.
“Esses grupos representam um risco significativo para as organizações, mesmo aquelas com programas de segurança robustos, pois essas técnicas são difíceis de se defender. À medida que as organizações continuam a construir suas equipes de segurança, infraestrutura e capacidades, a proteção contra esses agentes de ameaças deve fazer parte de suas metas de design”, concluiu Carmakal.
Outras conclusões do relatório incluem:
Vetor de infecção
Pelo terceiro ano consecutivo, as explorações continuaram a ser o vetor de infecção inicial mais alavancado usado pelos adversários, com 32%. Embora isso tenha sido uma diminuição em relação aos 37% de intrusões identificadas em 2021, as explorações continuaram sendo uma ferramenta crítica para os adversários usarem contra seus alvos. O phishing retornou como o segundo vetor mais utilizado, representando 22% das invasões, em comparação com 12% em 2021.
Indústrias-alvo impactadas
Os esforços de resposta para organizações relacionadas ao governo capturaram 25% de todas as investigações, em comparação com 9% em 2021. Isso reflete principalmente o apoio investigativo da Mandiant à atividade de ameaças cibernéticas que visava a Ucrânia. As próximas quatro indústrias mais visadas a partir de 2022 são consistentes com o que os especialistas da Mandiant observaram em 2021, com os setores de negócios e serviços profissionais, financeiro, de alta tecnologia e de saúde sendo favorecidos pelos adversários. Essas indústrias continuam sendo alvos atraentes para atores motivados financeiramente e por espionagem.
Roubo de credenciais
As investigações descobriram um aumento da prevalência tanto no uso de malware de roubo de informações generalizado quanto na compra de credenciais em 2022 quando comparado a anos anteriores. Em muitos casos, as investigações identificaram que as credenciais provavelmente foram roubadas fora do ambiente da organização e, em seguida, usadas contra a organização, potencialmente devido a senhas reutilizadas ou ao uso de contas pessoais em dispositivos corporativos.
Roubo de dados
Os especialistas da Mandiant identificaram que, em 40% das invasões em 2022, os adversários priorizaram o roubo de dados. Os pesquisadores observaram agentes de ameaças tentando roubar ou concluir com sucesso operações de roubo de dados com mais frequência em 2022 em comparação com os anos anteriores.
Uso de criptografia pela Coreia do Norte
Juntamente com as missões tradicionais de coleta de inteligência e ataques disruptivos, em 2022, os operadores da República Popular Democrática da Coreia mostraram mais interesse em roubar e usar criptomoedas. Essas operações têm sido altamente lucrativas e provavelmente continuarão inabaláveis ao longo de 2023.
FONTE: HELPNET SECURITY