0
0
Graças à rápida transição para o trabalho remoto devido à atual pandemia global – juntamente com a propensão dos cibercriminosos para tirar vantagem do medo, da incerteza e da dúvida – os pesquisadores de segurança têm visto um aumento nos problemas de segurança cibernética. Os cibercriminosos têm sido rápidos em explorar dispositivos de acesso recém-implantados, teletrabalhadores novatos, computadores e redes domésticos vulneráveis e equipes de TI sobrecarregadas. Muitos até mesmo temporariamente arquivaram ataques tradicionais centrados em rede para atingir novas lacunas de segurança e vulnerabilidades que lhes permitem explorar e obter acesso a dados e recursos valiosos. Só em abril, por exemplo, o FBI recebeu de 3.000 a 4.000 reclamações diárias relacionadas à segurança cibernética de empresas e usuários dos EUA, uma inclinação íngreme da média de 1.000 por dia.
É claro que os pesquisadores de ameaças sabem que eventos sociais significativos geralmente são um catalisador para que novas ameaças surjam. Seja uma pandemia, a Copa do Mundo ou algum outro evento significativo, há sempre maus atores procurando explorar outros durante tempos de crise. Nos últimos meses, o FortiGuard Labs tem acompanhado ativamente as campanhas globais de telemetria de ameaças e ataques relacionados à pandemia, incluindo ladrões de informações, trojans, ransomware e a eficácia de iscas de engenharia social. Isso revelou as seguintes tendências recentes:
• O maior pico de ataques de e-mail foi em 2 de abril, que viu 330 campanhas de e-mail COVID-19 separadas.
• Abril também registrou o maior volume de campanhas de e-mail maliciosas, com mais de 4.250 eventos relacionados ao COVID-19 no total.
• A maioria dos e-mails tem malicioso . DOCX e . Arquivos PDF (. DOCX sendo o mais alto) anexado, com ransomware sendo o anexo mais prevalente.
• Curiosamente, o número desses ataques vem diminuindo constantemente desde abril, com 3.590 campanhas de e-mail em maio e 2.841 em junho.
Três das principais atividades de maus atores que vi nos últimos meses são a exploração de emoções para cometer fraude cibernética, o aumento do phishing de lança, e os riscos aumentados causados pelo trabalho remoto.
Explorando emoções para ganho financeiro
Do ponto de vista da engenharia social, os cibercriminosos estão maximizando o componente de pânico dessa pandemia – e especificamente a escassez de equipamentos e suprimentos médicos. Nossos pesquisadores de ameaças viram campanhas focadas em hospitais, fabricantes de equipamentos médicos e companhias de seguros de saúde. Os Centros de Controle de Doenças (CDC) e a Organização Mundial da Saúde (OMS) relataram em abril que atores mal-intencionados estavam falsificando telefonemas e perpetrando campanhas de e-mail projetadas para parecer que vinham deles.
Campanhas telefônicas solicitaram doações ou fingiram estar vendendo suprimentos médicos essenciais. E os e-mails de phishing incluíam faturas ersatz para suprimentos nunca encomendados, ou alegaram estar fornecendo informações médicas críticas ou atualizações. Em vez disso, é claro, esses e-mails incluíam documentos ou links infectados para sites comprometidos.
Spear-phishing também está em ascensão
Além de ataques genéricos e de amplo espectro, também temos visto um aumento em campanhas altamente direcionadas, com ataques particularmente contra a escassez de suprimentos médicos. Uma campanha maliciosa de phishing de lança que recentemente observamos teve como alvo um fornecedor de dispositivos médicos. Neste ataque, em vez de oferecer suprimentos para venda, o atacante perguntou sobre vários materiais necessários para abordar a pandemia COVID-19 devido à alta demanda. Para criar um senso de urgência mais forte, o e-mail incluía uma declaração convincente de que o remetente já havia tentado entrar em contato com o destinatário por telefone.
Neste caso, o e-mail continha vários erros ortográficos, como na linha de assunto, “Inquérito sobre Sipplies Médicos – [nome da empresa REDACTED.inc].” Também continha um anexo que pretendia conter detalhes do inquérito, que também foi escrito errado. Erros ortográficos e gramática ruim são frequentemente sinais de golpes. O objetivo, neste caso, era claramente interromper a cadeia de fornecimento de bens médicos necessários para salvar vidas.
Trabalho remoto introduz novos vetores de ataque
Os cibercriminosos estão bem cientes de que tempos de transição rápida podem causar sérias interrupções para as organizações. Na pressa de garantir a continuidade dos negócios, coisas como protocolos de segurança podem ser negligenciadas ou deixadas de lado por uma questão de conveniência. E como sempre, os cibercriminosos estão procurando qualquer oportunidade para tirar vantagem de falhas de segurança inadvertidas.
Neste caso, uma vez que o mundo de repente se viu em confinamento, um número sem precedentes de usuários e dispositivos desprotegidos foram subitamente on-line ao mesmo tempo. Em qualquer casa, provavelmente há duas ou mais pessoas se conectando remotamente para trabalhar através de sua conexão de internet doméstica. Também pode haver uma ou mais crianças engajadas em escolas online, muito menos participar de comunidades de jogos online ou outras atividades sociais.
Outro fator complicador é que nem todas as organizações foram capazes de adquirir laptops suficientes para cada funcionário que agora precisa trabalhar remotamente. Consequentemente, muitos teletrabalhadores foram forçados a usar seus dispositivos pessoais para se conectar à rede corporativa – dispositivos que quase nunca são tão seguros quanto seus pares emitidos pela empresa.
O que torna isso tão perigoso é que esses dispositivos nem precisam ser atacados diretamente para serem comprometidos. Eles também estão conectados a redes domésticas não conectadas, que permitem aos atacantes explorar outros vetores de ataque, incluindo a exploração de dispositivos IoT vulneráveis ou consoles de jogos conectados à rede doméstica. O objetivo é, então, encontrar um caminho de volta para a rede corporativa e seus valiosos recursos digitais onde os dados podem ser roubados, e o malware pode ser espalhado para outros trabalhadores remotos. Isso é especialmente prejudicial, pois os trabalhadores remotos não têm o luxo de ir até a central de ajuda para restaurar seu sistema de computação. Se os problemas do dispositivo não puderem ser resolvidos solucionando um problema por telefone, ele precisa ser enviado, deixando o funcionário off-line por dias.
Voltando ao básico
Como profissional de segurança, você entende a importância do treinamento e da higiene cibernética. É essencial, no entanto, que no atual cenário de ameaças aumentada não possamos baixar a guarda. Aqui estão quatro áreas-chave para fortalecer em sua organização:
• Impor a higiene da segurança cibernética: Recomendo que todas as definições de IPS e AV sejam mantidas atualizadas continuamente. Também mantenha uma rotina de patches proativa sempre que as atualizações do fornecedor se tornarem disponíveis. Se a correção de um dispositivo não for viável, recomendamos a realização de uma avaliação de risco para determinar proteções adicionais de mitigação.
• Atualização da tecnologia crítica de segurança : A estratégia de segurança mais eficaz é projetar riscos fora do sistema. Certifique-se de que gateways de e-mail seguros e firewalls de aplicativos da Web estejam equipados com tecnologias de desarmamento e recuperação de conteúdo (CDR) para identificar e bloquear tipos específicos de arquivos, incluindo ataques de phishing e desarmar ameaças antes que eles cheguem ao usuário. E garantir que os dispositivos de ponto final tenham o software de detecção e resposta de ponto final (EDR) mais recente para evitar que ameaças ativas seja executada.
• Acelere o treinamento do usuário final: Realize sessões contínuas de treinamento de funcionários para informá-los sobre os ataques mais recentes de phishing/spear-phishing e lembrá-los de nunca abrir anexos de alguém que não conheçam. Os usuários finais também precisam ser treinados para detectar ataques de engenharia social e avaliados usando e-mails de teste improvisados enviados sub-repticiamente da equipe de segurança por e-mail.
É incrível como os princípios de segurança fundamentais, consistentemente implementados, podem ajudar a derrotar o vetor de ataque mais astuto. E é igualmente incrível como poucas organizações realmente fazem essas coisas com qualquer consistência. No entanto, ao se comprometer a focar nas três atividades acima estabelecidas, sua organização estará muito mais preparada para se defender contra atacantes que procuram explorar a pandemia.
FONTE: SECURITY WEEK