0
0
Em 2022, a atividade cibernética patrocinada pelo estado foi colocada em foco, o ransomware continuou a dominar como a principal ameaça enfrentada pelas organizações e houve vários incidentes altamente divulgados. Além das manchetes, houve algumas mudanças interessantes nas ferramentas e nas táticas dos adversários cibernéticos.
O que podemos aprender com os últimos 12 meses ao olharmos para as tendências que moldarão o cenário de ameaças em 2023?
Atividade patrocinada pelo estado
Em 2022, vimos o aumento da atividade patrocinada pelo Estado originária de vários países. Mas os motivadores por trás da atividade e as táticas usadas variaram muito. Isso continuará em 2023, à medida que os governos usarem seus recursos cibernéticos como uma forma de promover seus objetivos econômicos e políticos.
A atividade cibernética russa será dividida entre atingir a Ucrânia e promover seus objetivos de inteligência mais amplos
Sem perspectiva de um fim imediato do conflito na Ucrânia , podemos esperar mais atividades cibernéticas relacionadas ao conflito com o objetivo de degradar a infraestrutura crítica e os serviços governamentais da Ucrânia e coletar inteligência estrangeira útil ao governo russo de entidades envolvidas no esforço de guerra. Grupos ligados aos serviços de inteligência russos também continuarão a visar vizinhos geográficos com campanhas de desinformação, coleta de informações e possivelmente ataques disruptivos de baixo nível.
No entanto, a Rússia também continuará a perseguir seus objetivos mais amplos de inteligência de longo prazo. Alvos de espionagem tradicionais continuarão a ser um foco; por exemplo, vimos evidências em agosto de 2022 de serviços de inteligência russos usando e-mails de spear phishing para atingir funcionários dos laboratórios nacionais de Argonne e Brookhaven nos EUA, que conduzem pesquisas energéticas de ponta. Também esperamos que surjam novas revelações de coleta de inteligência secreta em grande escala por agentes de ameaças patrocinados pelo Estado russo, possibilitados pela exploração de ambientes de nuvem, infraestrutura de backbone da Internet ou sistemas de gerenciamento de identidades abrangentes.
A China continuará priorizando a espionagem cibernética política e econômica
Motivos econômicos e políticos continuarão a impulsionar a atividade de coleta de inteligência da China.
O recém-reeleito Xi Jinping e seu Partido Comunista Chinês continuarão a usar seu aparato de inteligência para ajudar a atingir objetivos econômicos e sociais mais amplos, enquanto se esforça para manter o controle. A vigilância de grupos dissidentes e indivíduos críticos do governo chinês também continuará, inclusive por meio de ataques contínuos a organizações não governamentais internacionais.
Os agentes de ameaças chineses terão como alvo empresas de alta tecnologia que operam ou fornecem setores como energia, manufatura, habitação e recursos naturais, à medida que procuram atualizar esses setores internamente.
Os governos estrangeiros também continuarão a ser um foco, particularmente no Leste Asiático e em relação à Iniciativa do Cinturão e Rota da China. Estamos atentos ao desenvolvimento da situação geopolítica em torno de Taiwan e do Mar da China Meridional, embora seja provável que muito do pré-posicionamento necessário para permitir ataques cibernéticos disruptivos contra infraestrutura crítica no caso de uma invasão já tenha ocorrido .
O assédio patrocinado pelo governo iraniano e o cibercrime se sobreporão
A maneira como os serviços de inteligência iranianos terceirizam operações para organizações de segurança cibernética no Irã confunde as linhas entre atividade patrocinada pelo Estado e crime cibernético. Vimos isso recentemente com o grupo de ameaças COBALT MIRAGE, afiliado ao IRGC, que realiza espionagem cibernética, mas também ataques de ransomware motivados financeiramente. Essa atividade de cibercrime é por natureza oportunista, o que significa que tem e continuará a impactar organizações de todas as formas e tamanhos globalmente.
Continuaremos a ver conflitos de baixa intensidade entre o Irã e adversários regionais, particularmente Israel. As operações conduzidas sob o disfarce de hacktivismo e cibercrime terão como objetivo interromper a infraestrutura crítica, vazar informações confidenciais e expor agentes de inteligência estrangeiros.
O cenário do cibercrime
Ameaças oportunistas de crimes cibernéticos continuarão a ser o principal problema para a maioria das organizações. Este não é um problema sem solução; muitas, muitas organizações estão se defendendo com sucesso diariamente. Esses incidentes geralmente acontecem devido a uma falha ou falta de controles de segurança. As organizações podem mitigar essa ameaça se investirem em controles de segurança fundamentais, como gerenciamento de ativos, aplicação de patches, autenticação multifator e monitoramento de rede.
Ransomware-as-a-Service irá florescer
O cenário do Ransomware-as-a-Service (RaaS) continuará a ser dominado por um punhado de grupos de cibercrimes organizados que operam um número limitado de esquemas altamente ativos. Novas variantes de ransomware continuarão a aparecer e desaparecer, mas provavelmente terão dificuldade em estabelecer uma presença significativa no mercado.
Os esquemas bem-sucedidos continuarão a atrair mais afiliados, em um círculo virtuoso, mas os operadores do esquema precisarão estar atentos aos afiliados desonestos que visam a infraestrutura crítica e avaliam mal a intensidade da reação política e policial que se segue. A “janela de detecção” entre o acesso inicial a um ambiente e a implantação do ransomware continuará diminuindo.
Também veremos agentes de ameaças experientes operando como afiliados desses esquemas RaaS estabelecidos para tornar a atribuição mais difícil e evitar sanções impostas pelas autoridades dos EUA que visam cibercriminosos identificados.
Ataques apenas de extorsão aumentarão em popularidade
Apesar de serem relativamente pouco sofisticados por natureza, os ataques de extorsão continuarão a esclarecer as lacunas nos controles de segurança das organizações e aumentarão em número este ano. No entanto, os ataques de ransomware permanecerão mais lucrativos para os cibercriminosos a longo prazo, pois fornecem um maior retorno sobre o investimento.
Os vetores primários continuarão a mudar
Em 2022, nossos dados mostraram que o principal vetor de ataques mudou do acesso baseado em credenciais para a exploração de serviços remotos voltados para a Internet. Os invasores mudam com o tempo e estão constantemente procurando novas maneiras de enganar as equipes de segurança e obter acesso às redes.
Isso continuará em 2023. Esperamos ver um foco específico em ignorar a autenticação multifator, pois esse controle de segurança crítico continua a ter taxas de adoção crescentes por organizações e indivíduos.
A IA não alterará significativamente o cenário de ameaças, pelo menos ainda não
Ultimamente, muita atenção tem sido dada ao conteúdo gerado por IA, especialmente com o surgimento de ferramentas como o ChatGPT. O setor de segurança ocasionalmente gosta de reivindicar o surgimento de ataques sofisticados que usam tecnologias de IA e aprendizado de máquina. A realidade, no entanto, é que os invasores continuarão a usar as técnicas menos sofisticadas, pois as ferramentas e técnicas “tradicionais” continuam a ser eficazes. Ao longo do ano, veremos muito entusiasmo em torno da IA, deepfakes e similares, mas pouco impacto no mundo real.
A importância de uma boa estratégia de defesa
À medida que nos aproximamos de 2023, a pressão sobre as equipes de segurança é implacável, então elas também devem ser implacáveis em sua busca pela proteção das organizações.
Obter os fundamentos da boa higiene cibernética é uma necessidade absoluta. Manter uma compreensão sólida do cenário de ameaças e das táticas usadas pelos adversários é uma etapa importante, mas as equipes de segurança também devem procurar identificar e proteger seus principais ativos e priorizar o gerenciamento de vulnerabilidades.
Também é fundamental monitorar de forma abrangente toda a rede, de endpoints a ativos de nuvem, pois técnicas tradicionais e soluções pontuais, como detecção e resposta de endpoint, não são mais eficazes no combate às ameaças atuais. Mas é vital que as empresas estejam equipadas para filtrar e priorizar as ameaças mais importantes aos seus negócios para mitigá-las de forma eficiente e eficaz.
Essa abordagem holística será vital para garantir a segurança contra estados-nação e gangues de crimes cibernéticos nos próximos 12 meses.
FONTE: HELPNET SECURITY