Operadores de ameaças agora estão se concentrando mais em maneiras de evitar a detecção para estabelecer uma posição mais forte no sistema comprometido
Mais de 50% dos ataques cibernéticos se concentraram na evasão da defesa, de acordo pesquisa da Aqua Security com base nos dados agregados de seu honeypot (sistema para atrair ciberataque), durante um período de seis meses.
Segundo a empresa, os ataques incluíam técnicas de mascaramento, como arquivos executados de /tmp, e arquivos ou informações ofuscadas, como carregamento dinâmico de código. Além disso, em 5% dos ataques, os operadores de ameaças usaram um malware residente na memória.
Na comparação com a pesquisa anterior da Aqua Nautilus, em 2022, houve um aumento de 1.400% nos ataques sem arquivo. Isso indica claramente que os operadores de ameaças agora estão se concentrando mais em maneiras de evitar a detecção para estabelecer uma posição mais forte no sistema comprometido.
“Os operadores de ameaças estão mais focados e cada vez mais bem-sucedidos em evadir soluções sem agentes”, disse Assaf Morag, principal pesquisador de inteligência de ameaças da Aqua Nautilus. “A evidência mais persuasiva disso foi nossa descoberta do HeadCrab, malware extremamente sofisticado e furtivo baseado em Redis que comprometeu mais de 1.200 servidores. Quando se trata de segurança em tempo de execução, apenas a varredura baseada em agente pode detectar ataques como esses, projetados para evitar tecnologias de varredura baseadas em volume, e eles são críticos à medida que as técnicas de evasão continuam a evoluir.”
Segundo a empresa, a proteção de ambientes de tempo de execução requer ao menos uma abordagem de monitoramento que inclua a verificação de arquivos maliciosos conhecidos e comunicações de rede, bloqueando-os e alertando quando eles aparecerem. No entanto, isso ainda é insuficiente.
Uma solução melhor inclui o monitoramento de indicadores ou marcadores que também sugerem comportamento malicioso – por exemplo, comportamentos como tentativas não autorizadas de acessar dados confidenciais, tentativas de ocultar processos ao elevar privilégios e a abertura de backdoors para endereços IP desconhecidos.
Em última análise, é fundamental implementar medidas de proteção robustas em ambientes de tempo de execução para garantir que os dados e aplicativos estejam seguros e evitar que fiquem vulneráveis a ataques.
O relatório também destacou a pesquisa da Nautilus sobre o risco da cadeia de suprimentos de software. O relatório ilustra várias áreas na cadeia de suprimentos de software em nuvem que podem ser comprometidas e representam uma ameaça significativa para as organizações.Em um caso de uso específico, o Nautilus demonstra as implicações de configurações incorretas na cadeia de suprimentos de software e como elas podem levar a ameaças críticas. Isso é significativo porque organizações de todos os tamanhos correm o risco de erros de configuração e até mesmo pequenos erros de configuração podem ter um impacto sério.
FONTE: CISO ADVISOR